Изменения в законодательстве о персональных данных с 1 сентября 2022 г.
(обзор Федерального закона от 14 июля 2022 г. N 266-ФЗ)
август 2022 г.
1) Действие Закона о ПД распространено за границы России:
Ранее законодатель не конкретизировал государственную принадлежность операторов ПД, деятельность которых подпадает под действие Закона о ПД: в числе таких субъектов назывались просто юридические и физические лица, под которыми в силу общеправового принципа территориальности законов понимались российские лица. Но с 1 сентября положения Закона о ПД будут применимы к обработке ПД российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договоров с российскими гражданами либо на основании согласия последних на обработку их ПД (ч. 1.1 ст. 1 Закона о ПД в новой ред.).
Очевидно, это сделано с целью усилить защиту ПД граждан РФ. Но остается непонятным, почему, если законодатель решил ввести принцип экстерриториальности Закона о ПД, он ограничился только обработкой на основании договора с субъектом ПД или с его согласия, оставив "за бортом" случаи несанкционированной (внедоговорной) обработки ПД российских граждан. Как следует из пояснительной записки к законопроекту, данные изменения были предложены как раз в связи с угрозой, которую представляют нелегальные сервисы в иностранном сегменте сети Интернет, распространяющие незаконно собранную личную информацию о гражданах РФ. Но буквальный текст закона не позволит Роскомнадзору вмешиваться в такую обработку ПД.
2) Уточнены полномочия Роскомнадзора:
Отныне государственные органы, Банк России, органы местного самоуправления обязаны согласовывать с Роскомнадзором свои нормативные правовые акты, если они касаются трансграничной передачи ПД, обработки специальных категорий ПД, биометрических ПД, ПД несовершеннолетних, предоставления, распространения ПД, полученных в результате обезличивания (ч. 3.1 ст. 4 Закона о ПД в новой ред.).
Роскомнадзор всегда был уполномочен вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования в области защиты прав субъектов ПД - с 1 сентября это полномочие дополнено возможностью предложений о нормотворчестве в области деятельности по обработке ПД (п. 8 ч. 3 ст. 23 Закона о ПД в новой ред.). Очевидно, это просто техническая правка, т.к. ведомство и ранее вносило соответствующие предложения под эгидой защиты прав субъектов ПД.
Закреплено, что права и обязанности Роскомнадзора по защите прав субъектов ПД осуществляются им непосредственно и не могут быть переданы иным органам государственной власти (ч. 5.2 ст. 23 Закона о ПД в новой ред.). Правда, случаи такой передачи ранее в практике неизвестны.
3) Зафиксированы требования к договору, в связи с заключением или исполнением которого обработка ПД возможна без согласия субъекта ПД:
Такой договор, заключаемый с субъектом ПД, не может ограничивать права и свободы субъекта ПД, допускать обработку ПД несовершеннолетних (иное может быть предусмотрено законодательством РФ), а также не может предусматривать бездействие субъекта ПД в качестве условия заключения договора (п. 5 ч. 1 ст. 6 Закона о ПД в новой ред.).
Очевидно, что такие условия договора не будут недействительными, но при их включении в договор для обработки ПД будет требоваться отдельное согласие субъекта ПД, несмотря на то, что обработка будет необходима для заключения / исполнения договора, стороной которого является субъект ПД.
4) Уточнены обязанности обработчика ПД (напомним, что это лицо, осуществляющее обработку ПД по поручению оператора) и сфера ответственности иностранного обработчика:
Ранее Закон о ПД возлагал на обработчика лишь обязанность соблюдать принципы и правила обработки ПД, предусмотренные законом; обязанность соблюдать конфиденциальность ПД должна была предусматриваться договором между оператором и обработчиком. С 1 сентября сам закон возлагает на обработчика обязанности соблюдать конфиденциальность ПД (эта обязанность удивительным образом остается и в числе договорных) и принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. А в круг обязанностей обработчика, которые должны быть предусмотрены его договором с оператором, добавлены требования:
- при сборе ПД по общему правилу использовать базы данных, находящиеся на территории РФ,
- соблюдать предписания ст. 18.1 Закона о ПД,
- предоставлять по запросу оператора ПД (в течение срока действия поручения) документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона,
- уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД (ч. 3 ст. 6 Закона о ПД в новой ред.).
Поскольку переходные положения не устанавливают, что действие изменений распространяется на отношения, возникшие из ранее заключенных договоров, мы полагаем, что ранее заключенные договоры между операторами и обработчиками сохраняют свое действие; изменение их содержания возможно только по соглашению сторон. Но договоры, которые будут заключаться начиная с 1 сентября, в обязательном порядке должны предусматривать вышеназванные обязанности обработчика (ст. 422 ГК РФ).
Изначально фигура обработчика задумывалась законодателем в статусе посредника, фактически выполняющего обработку, но не несущего ответственности перед субъектом ПД (ответственность перед субъектом ПД несет оператор, а обработчик отвечает лишь перед оператором). Но с 1 сентября исключение сделано для иностранных обработчиков (физических и юридических лиц): такие лица отвечают перед субъектом ПД наряду с оператором (ч. 6 ст. 6 Закона о ПД в новой ред.).
До конца неясно, что означает эта новая формулировка для случаев возмещения имущественного вреда: предполагает ли она солидарную ответственность оператора и иностранного обработчика или все же долевую. Как мы знаем солидарная обязанность (ответственность) должна быть прямо предусмотрена законом или договором (п. 1 ст. 322 ГК РФ). И очевидно, что сам Закон о ПД не упоминает солидарную ответственность. Применение же к данным отношениям норм о совместном причинении вреда (ст. 1080 ГК РФ), на наш взгляд, сомнительно. Поэтому мы полагаем, что ответственность оператора и иностранного обработчика все же должна быть долевой. Посмотрим, как интерпретируют новую норму правоприменительные органы в своей практике.
5) Предусмотрены дополнительные требования к согласию на обработку ПД:
Ранее от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным (ч. 1 ст. 9 Закона о ПД в новой ред.).
Пока не сложится практика применения данной нормы, сложно сказать, в чем существенное отличие нового регулирования. Пояснительная записка к законопроекту не освещает это изменение. На наш взгляд, понятие конкретности согласия настолько тесно связано с его предметностью и однозначностью, что и до этого согласие субъекта ПД предполагалось дающимся в отношении определенных видов ПД и определенных видов их обработки (предметность) и не допускающим различного толкования (однозначность).
6) Расширен круг случаев, на которые не распространяются особенности обработки ПД, разрешенных субъектом ПД для распространения:
Такие особенности, установленные ст. 10.1 Закона о ПД, ранее не распространялись на обработку ПД федеральными и региональными органами исполнительной власти, а также органами местного самоуправления при исполнении их функций, полномочий и обязанностей. С 1 сентября круг этих лиц пополнится организациями, подведомственными таким органам (ч. 15 ст. 10.1 Закона о ПД в новой ред.).
7) Операторам по общему правилу запрещено требовать предоставления биометрических ПД и обусловливать оказание услуг их предоставлением:
С 1 сентября предоставление биометрических ПД не может быть обязательным, за исключением случаев, когда обработка биометрических ПД может осуществляться без согласия субъекта. Оператор также не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить биометрические ПД и (или) дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД не является обязательным (ч. 3 ст. 11 Закона о ПД в новой ред.).
8) Более подробно урегулировано право субъекта ПД получать от оператора информацию, касающуюся обработки его ПД:
В перечень сведений, которые субъект ПД может запросить у оператора, включена информация о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона о ПД (п. 9.1 ч. 7 ст. 14 Закона о ПД в новой ред.).
Кроме того, наконец-то установлен срок и порядок ответа оператора на запрос субъекта ПД: сведения должны быть предоставлены субъекту ПД (его представителю) в течение десяти рабочих дней с момента обращения (получения оператором соответствующего запроса). Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта ПД. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное (ч. 3 ст. 14 Закона о ПД в новой ред.).
9) Дополнены обязанности оператора при сборе персональных данных:
- оператор обязан разъяснить субъекту ПД юридические последствия не только отказа предоставить его ПД (ныне действующая норма), но и отказа дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД является обязательным (ч. 2 ст. 18 Закона о ПД в новой ред.),
- в круг сведений, которые оператор обязан предоставить субъекту ПД до начала обработки, если ПД получены от третьих лиц, включен сам перечень ПД (п. 2.1 ч. 3 ст. 18 Закона о ПД в новой ред.).
10) Изменены требования к локальным актам по вопросам обработки ПД:
Во-первых, уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД:
- в них должны определяться для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований,
- запрещено включать в них положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о ПД в новой ред.).
Во-вторых, конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД - а именно, на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД (ч. 2 ст. 18.1 Закона о ПД в новой ред.). Однако формулировка "в том числе" указывает, что это не исключительный способ опубликования сведений.
11) Введена абсолютно новая обязанность оператора по взаимодействию с ГосСОПКА:
Такое название носит Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории РФ, в дипломатических представительствах и (или) консульских учреждениях РФ), созданная в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
С 1 сентября оператор обязан в порядке, определенном ФСБ, обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Поступившая от оператора информация передается органами ФСБ в Роскомнадзор в согласованном ими порядке (ч. 12-14 ст. 19 Закона о ПД в новой ред.).
В отсутствие новых нормативных актов, по всей видимости, встает вопрос о применимости Перечня информации, представляемой в ГосСОПКА, и Порядка представления информации в ГосСОПКА, утв. приказом ФСБ России от 24 июля 2018 г. N 367, а также Порядка информирования ФСБ России о компьютерных инцидентах..., утв. приказом ФСБ России от 19 июня 2019 г. N 282. При этом следует обратить внимание на понятие субъектов критической информационной инфраструктуры, на которых распространяются данные приказы ФСБ: это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Очевидно, что это понятие уже, чем понятие оператора ПД, в деятельности которого произошел компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД, которое использует Закон о ПД в новой ред. Поэтому мы полагаем, что должны последовать официальные разъяснения о том, что именно включает в себя обязанность оператора ПД обеспечивать взаимодействие с ГосСОПКА, применим ли при этом приказ N 367, должно ли происходить информирование ФСБ согласно приказу N 282, действуют ли два этих порядка одновременно или только один из них. До таких разъяснений применимость этих приказов вызывает сомнения.
12) Сокращены сроки ответов оператора на запросы субъекта ПД и Роскомнадзора:
Срок ответа оператора при обращении к нему субъекта ПД либо при получении запроса субъекта ПД (его представителя), а также Роскомнадзора сокращен с тридцати календарных дней до десяти рабочих дней со дня обращения (получения запроса). Но этот срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор обязан направить инициатору запроса (ч. 1, 2 и 4 ст. 20 Закона о ПД в новой ред.).
13) Введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД:
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о контактном лице - в течение суток с момента выявления такого инцидента оператором, самим Роскомнадзором или иным заинтересованным лицом, а о результатах внутреннего расследования выявленного инцидента и
