Изменения в законодательстве о персональных данных с 1 сентября 2022 г.
(обзор Федерального закона от 14 июля 2022 г. N 266-ФЗ)
август 2022 г.
См. Памятку для операторов персональных данных в связи с изменениями с 1 сентября 2022 г.
1) Действие Закона о ПД распространено за границы России:
Ранее законодатель не конкретизировал государственную принадлежность операторов ПД, деятельность которых подпадает под действие Закона о ПД: в числе таких субъектов назывались просто юридические и физические лица, под которыми в силу общеправового принципа территориальности законов понимались российские лица. Но с 1 сентября положения Закона о ПД будут применимы к обработке ПД российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договоров с российскими гражданами либо на основании согласия последних на обработку их ПД (ч. 1.1 ст. 1 Закона о ПД в новой ред.).
Очевидно, это сделано с целью усилить защиту ПД граждан РФ. Но остается непонятным, почему, если законодатель решил ввести принцип экстерриториальности Закона о ПД, он ограничился только обработкой на основании договора с субъектом ПД или с его согласия, оставив "за бортом" случаи несанкционированной (внедоговорной) обработки ПД российских граждан. Как следует из пояснительной записки к законопроекту, данные изменения были предложены как раз в связи с угрозой, которую представляют нелегальные сервисы в иностранном сегменте сети Интернет, распространяющие незаконно собранную личную информацию о гражданах РФ. Но буквальный текст закона не позволит Роскомнадзору вмешиваться в такую обработку ПД.
2) Уточнены полномочия Роскомнадзора:
Отныне государственные органы, Банк России, органы местного самоуправления обязаны согласовывать с Роскомнадзором свои нормативные правовые акты, если они касаются трансграничной передачи ПД, обработки специальных категорий ПД, биометрических ПД, ПД несовершеннолетних, предоставления, распространения ПД, полученных в результате обезличивания (ч. 3.1 ст. 4 Закона о ПД в новой ред.).
Роскомнадзор всегда был уполномочен вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования в области защиты прав субъектов ПД - с 1 сентября это полномочие дополнено возможностью предложений о нормотворчестве в области деятельности по обработке ПД (п. 8 ч. 3 ст. 23 Закона о ПД в новой ред.). Очевидно, это просто техническая правка, т.к. ведомство и ранее вносило соответствующие предложения под эгидой защиты прав субъектов ПД.
Закреплено, что права и обязанности Роскомнадзора по защите прав субъектов ПД осуществляются им непосредственно и не могут быть переданы иным органам государственной власти (ч. 5.2 ст. 23 Закона о ПД в новой ред.). Правда, случаи такой передачи ранее в практике неизвестны.
3) Зафиксированы требования к договору, в связи с заключением или исполнением которого обработка ПД возможна без согласия субъекта ПД:
Такой договор, заключаемый с субъектом ПД, не может ограничивать права и свободы субъекта ПД, допускать обработку ПД несовершеннолетних (иное может быть предусмотрено законодательством РФ), а также не может предусматривать бездействие субъекта ПД в качестве условия заключения договора (п. 5 ч. 1 ст. 6 Закона о ПД в новой ред.).
Очевидно, что такие условия договора не будут недействительными, но при их включении в договор для обработки ПД будет требоваться отдельное согласие субъекта ПД, несмотря на то, что обработка будет необходима для заключения / исполнения договора, стороной которого является субъект ПД.
4) Уточнены обязанности обработчика ПД (напомним, что это лицо, осуществляющее обработку ПД по поручению оператора) и сфера ответственности иностранного обработчика:
Ранее Закон о ПД возлагал на обработчика лишь обязанность соблюдать принципы и правила обработки ПД, предусмотренные законом; обязанность соблюдать конфиденциальность ПД должна была предусматриваться договором между оператором и обработчиком. С 1 сентября сам закон возлагает на обработчика обязанности соблюдать конфиденциальность ПД (эта обязанность удивительным образом остается и в числе договорных) и принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. А в круг обязанностей обработчика, которые должны быть предусмотрены его договором с оператором, добавлены требования:
- при сборе ПД по общему правилу использовать базы данных, находящиеся на территории РФ,
- соблюдать предписания ст. 18.1 Закона о ПД,
- предоставлять по запросу оператора ПД (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона,
- уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД (ч. 3 ст. 6 Закона о ПД в новой ред.).
Поскольку переходные положения не устанавливают, что действие изменений распространяется на отношения, возникшие из ранее заключенных договоров, мы полагаем, что ранее заключенные договоры между операторами и обработчиками сохраняют свое действие; изменение их содержания возможно только по соглашению сторон. Но договоры, которые будут заключаться начиная с 1 сентября, в обязательном порядке должны предусматривать вышеназванные обязанности обработчика (ст. 422 ГК РФ).
Изначально фигура обработчика задумывалась законодателем в статусе посредника, фактически выполняющего обработку, но не несущего ответственности перед субъектом ПД (ответственность перед субъектом ПД несет оператор, а обработчик отвечает лишь перед оператором). Но с 1 сентября исключение сделано для иностранных обработчиков (физических и юридических лиц): такие лица отвечают перед субъектом ПД наряду с оператором (ч. 6 ст. 6 Закона о ПД в новой ред.).
До конца неясно, что означает эта новая формулировка для случаев возмещения имущественного вреда: предполагает ли она солидарную ответственность оператора и иностранного обработчика или все же долевую. Как мы знаем солидарная обязанность (ответственность) должна быть прямо предусмотрена законом или договором (п. 1 ст. 322 ГК РФ). И очевидно, что сам Закон о ПД не упоминает солидарную ответственность. Применение же к данным отношениям норм о совместном причинении вреда (ст. 1080 ГК РФ), на наш взгляд, сомнительно. Поэтому мы полагаем, что ответственность оператора и иностранного обработчика все же должна быть долевой. Посмотрим, как интерпретируют новую норму правоприменительные органы в своей практике.
5) Предусмотрены дополнительные требования к согласию на обработку ПД:
Ранее от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным (ч. 1 ст. 9 Закона о ПД в новой ред.).
Пока не сложится практика применения данной нормы, сложно сказать, в чем существенное отличие нового регулирования. Пояснительная записка к законопроекту не освещает это изменение. На наш взгляд, понятие конкретности согласия настолько тесно связано с его предметностью и однозначностью, что и до этого согласие субъекта ПД предполагалось дающимся в отношении определенных видов ПД и определенных видов их обработки (предметность) и не допускающим различного толкования (однозначность).
6) Расширен круг случаев, на которые не распространяются особенности обработки ПД, разрешенных субъектом ПД для распространения:
Такие особенности, установленные ст. 10.1 Закона о ПД, ранее не распространялись на обработку ПД федеральными и региональными органами исполнительной власти, а также органами местного самоуправления при исполнении их функций, полномочий и обязанностей. С 1 сентября круг этих лиц пополнится организациями, подведомственными таким органам (ч. 15 ст. 10.1 Закона о ПД в новой ред.).
7) Операторам по общему правилу запрещено требовать предоставления биометрических ПД и обусловливать оказание услуг их предоставлением:
С 1 сентября предоставление биометрических ПД не может быть обязательным, за исключением случаев, когда обработка биометрических ПД может осуществляться без согласия субъекта. Оператор также не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить биометрические ПД и (или) дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД не является обязательным (ч. 3 ст. 11 Закона о ПД в новой ред.).
8) Более подробно урегулировано право субъекта ПД получать от оператора информацию, касающуюся обработки его ПД:
В перечень сведений, которые субъект ПД может запросить у оператора, включена информация о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона о ПД (п. 9.1 ч. 7 ст. 14 Закона о ПД в новой ред.).
Кроме того, наконец-то установлен срок и порядок ответа оператора на запрос субъекта ПД: сведения должны быть предоставлены субъекту ПД (его представителю) в течение десяти рабочих дней с момента обращения (получения оператором соответствующего запроса). Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта ПД. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное (ч. 3 ст. 14 Закона о ПД в новой ред.).
9) Дополнены обязанности оператора при сборе персональных данных:
- оператор обязан разъяснить субъекту ПД юридические последствия не только отказа предоставить его ПД (ныне действующая норма), но и отказа дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД является обязательным (ч. 2 ст. 18 Закона о ПД в новой ред.),
- в круг сведений, которые оператор обязан предоставить субъекту ПД до начала обработки, если ПД получены от третьих лиц, включен сам перечень ПД (п. 2.1 ч. 3 ст. 18 Закона о ПД в новой ред.).
10) Изменены требования к локальным актам по вопросам обработки ПД:
Во-первых, уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД:
- в них должны определяться для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований,
- запрещено включать в них положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о ПД в новой ред.).
Во-вторых, конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД - а именно, на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД (ч. 2 ст. 18.1 Закона о ПД в новой ред.). Однако формулировка "в том числе" указывает, что это не исключительный способ опубликования сведений.
11) Введена абсолютно новая обязанность оператора по взаимодействию с ГосСОПКА:
Такое название носит Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории РФ, в дипломатических представительствах и (или) консульских учреждениях РФ), созданная в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
С 1 сентября оператор обязан в порядке, определенном ФСБ, обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Поступившая от оператора информация передается органами ФСБ в Роскомнадзор в согласованном ими порядке (ч. 12-14 ст. 19 Закона о ПД в новой ред.).
В отсутствие новых нормативных актов, по всей видимости, встает вопрос о применимости Перечня информации, представляемой в ГосСОПКА, и Порядка представления информации в ГосСОПКА, утв. приказом ФСБ России от 24 июля 2018 г. N 367, а также Порядка информирования ФСБ России о компьютерных инцидентах..., утв. приказом ФСБ России от 19 июня 2019 г. N 282. При этом следует обратить внимание на понятие субъектов критической информационной инфраструктуры, на которых распространяются данные приказы ФСБ: это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Очевидно, что это понятие уже, чем понятие оператора ПД, в деятельности которого произошел компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД, которое использует Закон о ПД в новой ред. Поэтому мы полагаем, что должны последовать официальные разъяснения о том, что именно включает в себя обязанность оператора ПД обеспечивать взаимодействие с ГосСОПКА, применим ли при этом приказ N 367, должно ли происходить информирование ФСБ согласно приказу N 282, действуют ли два этих порядка одновременно или только один из них. До таких разъяснений применимость этих приказов вызывает сомнения.
12) Сокращены сроки ответов оператора на запросы субъекта ПД и Роскомнадзора:
Срок ответа оператора при обращении к нему субъекта ПД либо при получении запроса субъекта ПД (его представителя), а также Роскомнадзора сокращен с тридцати календарных дней до десяти рабочих дней со дня обращения (получения запроса). Но этот срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор обязан направить инициатору запроса (ч. 1, 2 и 4 ст. 20 Закона о ПД в новой ред.).
13) Введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД:
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о контактном лице - в течение суток с момента выявления такого инцидента оператором, самим Роскомнадзором или иным заинтересованным лицом, а о результатах внутреннего расследования выявленного инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии) - в течение трех суток (ч. 3.1 ст. 21 Закона о ПД в новой ред.).
Привязка начала течения данных сроков к моменту выявления инцидента самим Роскомнадзором или иным заинтересованным лицом, очевидно, неудачна: получается, что соблюдение оператором сроков уведомления зависит от того, сообщат ли ему данные лица о выявлении инцидента вообще и, если сообщат, то насколько быстро. Полагаем, что сроки уведомления в любом случае должны течь с момента, когда сам оператор узнал об инциденте - законодателю либо правоприменительной практике придется поправить эту норму.
- в случае обращения субъекта ПД к оператору с требованием о прекращении обработки ПД оператор обязан по общему правилу прекратить их обработку или обеспечить прекращение такой обработки (если за оператора действует обработчик) за исключением случаев, когда обработка возможна без согласия субъекта ПД, в течение десяти рабочих дней с даты получения требования. Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта ПД (ч. 5.1 ст. 21 Закона о ПД в новой ред.).
Данное нововведение тоже вызывает вопросы. В ст. 21 Закона о ПД уже были закреплены обязанности оператора ПД на случаи выявления неправомерной обработки ПД (ч. 3), достижения целей обработки ПД (ч. 4), а также отзыва субъектом ПД согласия на обработку его ПД (ч. 5). Непонятно, какие иные случаи предполагается охватывать новой нормой. Исключение из нее случаев, когда обработка возможна без согласия субъекта ПД, навевает мысль о том, что обращение субъекта ПД к оператору с требованием о прекращении обработки ПД мотивируется отсутствием (не отзывом, а именно изначальным отсутствием - т.о. можно развести сферы действия ч. 5 и 5.1) его согласия на обработку ПД. Но в таком случае, при исключении возможности обработки без согласия субъекта ПД, обработка вообще является неправомерной, что подпадает под действие ч. 3. Предположить, что новая часть 5.1 рассчитана на случаи выявления неправомерной обработки именно по заявлению субъекта ПД, тоже не получается, поскольку норма ч. 3 является логичным продолжением ч. 1, предполагающей проведение проверки по обращению субъекта ПД, вследствие которой может быть выявлена неправомерная обработка, влекущая действия оператора по ч. 5.
Также остается неясным, почему нормы ч. 3-5 требуют от оператора уничтожения ПД (обеспечения их уничтожения), а новая часть 5.1 обязывает оператора лишь прекратить обработку ПД (обеспечить прекращение такой обработки), хотя в часть 6, рассчитанную на случаи отсутствия возможности уничтожения ПД, все же внесли отсылку к ч. 5.1. Все эти вопросы, на наш взгляд, требуют разъяснений от законодателя или Роскомнадзора.
14) Существенным образом изменено регулирование уведомления Роскомнадзора о начале обработки ПД:
Перечень случаев, когда обработка возможна без такого уведомления, урезан до обработки ПД:
- включенных в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства,
- в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации (ч. 2 ст. 22 Закона о ПД в новой ред.).
Отметим, что последний случай сформулирован в законе таким образом, что речь не идет о возможности неуведомления Роскомнадзора об обработке какого-то объема ПД без использования средств автоматизации (сравните новую и старую формулировку п. 8 ч. 2) - по всей видимости, с 1 сентября обработку можно осуществлять без уведомления Роскомнадзора только тогда, когда оператор вообще осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации, т.е. абсолютно все ПД им обрабатываются таким способом.
Несмотря на то, что законодатель значительно увеличил число случаев, в которых уведомление Роскомнадзора необходимо, он не предусмотрел никаких переходных положений по срокам направления уведомления для тех операторов, которые ранее не обязаны были направлять такое уведомление. Официальных разъяснений на этот счет тоже пока нет. Мы полагаем наименее рискованным направление уведомления НЕ ПОЗДНЕЕ ПЕРВОГО ДНЯ действия новой редакции Закона о ПД - 1 сентября..
Несколько изменены требования к содержанию уведомления:
- в нем дополнительно следует указать ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, содержащихся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона о ПД в новой ред.);
- а категории ПД, категории субъектов, ПД которых обрабатываются, правовое основание обработки ПД, перечень действий с ПД, способы обработки ПД отныне следует указывать для каждой цели обработки ПД (ч. 3.1 ст. 22 Закона о ПД в новой ред.).
С 1 сентября реестр операторов будет не только пополняться, но и очищаться: в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки ПД Роскомнадзор будет исключать из реестра сведения, ранее представлявшиеся оператором (ч. 4.1 ст. 22 Закона о ПД в новой ред.). Тем самым, реестр операторов будет отражать информацию об обработке ПД, более-менее действительную на текущий момент.
Кроме того, законодатель закрепил обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором (ч. 8 ст. 22 Закона о ПД в новой ред.). Таким образом, соответствующие формы, приведенные в приложении к методическим рекомендациям, утв. приказом Роскомнадзора от 30 мая 2017 г. N 94, переходят из статуса рекомендуемых в статус обязательных, если ведомством не будут разработаны новые формы.
Работа по утверждению новых форм уже ведется. Если эти формы не будут приняты к 1 сентября, необходимо подать уведомления о намерении осуществлять обработку ПД (если ранее не уведомляли Роскомнадзор об обработке) или о внесении изменений в ранее представленные сведения (если уведомляли, но по старой редакции ст. 22 Закона о ПД) по старым формам, а при появлении новых подать недостающие сведения через форму уведомления о внесении изменений в ранее представленные сведения. Такие разъяснения дает и Роскомнадзор.
Мария Прибыткова
эксперт службы Правового консалтинга ГАРАНТ
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.