Изменения, вносимые Федеральным законом от 25.07.2011 № 261-ФЗ в Федеральный закон «О персональных данных»
Данный материал содержит описание изменений, вносимых в действующее законодательство Российской Федерации о персональныхз данных Федеральным законом от 25.07.2011 № 261-ФЗ «О внесении изменений в федеральный закон «О персональных данных».
Сфера действия
В статье 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) добавилось положение, согласно которому 152-ФЗ регулирует отношения, связанные с обработкой персональных данных (далее - ПДн) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, и без использования средств автоматизации, когда такая обработка позволяет осуществлять в соответствии с заданным алгоритмом поиск ПДн, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн.
152-ФЗ теперь распространяет свое действие на отношения, возникающие при обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя.
Понятийный аппарат
В статье 3 поменялись определения каждого понятия, используемого в 152-ФЗ, а именно согласно новой редакции:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
3) обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
4) автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
5) распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
6) предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
7) блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
8) уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
9) обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
10) информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
В статье 4 расширен перечень органов, имеющих право принимать нормативные правовые акты по отдельным вопросам, касающимся обработки ПДн:
теперь наряду с государственными органами таким право обладает Банк России и органы местного самоуправления.
Принципы обработки ПДн, хранение ПДн
В статье 5 немного поменялись формулировки принципов обработки ПДн, но идея недопустимости обработки ПДн, несовместимой с целями их сбора, и недопустимости их избыточности сохранилась.
Относительно хранения в новой версии 152-ФЗ определено, что его срок ограничивается не только целями обработки ПДн, но и федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Условия обработки ПДн
В статье 6 новой версии 152-ФЗ скорректированы случаи законной обработки ПДн:
1) обработка ПДн осуществляется с согласия субъекта на обработку его ПДн;
2) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4) обработка ПДн необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта ПДн на едином портале государственных и муниципальных услуг;
5) обработка ПДН необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта или договора, по которому субъект данных будет являться выгодоприобретателем или поручителем;
6) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия субъекта ПДн невозможно;
7) обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
8) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
9) обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 152-ФЗ, при условии обязательного обезличивания ПДн;
10) осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);
11) осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Обработка ПДн по поручению оператора
В этой же статье описан порядок обработки ПДн, осуществляемой организацией по поручению оператора.
Согласно новой версии поручение обработки ПДн другому лицу возможно либо с согласия субъекта, если иное не предусмотрено федеральным законом, либо на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора).
Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ. В поручении оператора должны быть определены:
- перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
- цели обработки;
- обязанность лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
- требования к защите обрабатываемых ПДн в соответствии со статьей 19 152-ФЗ.
Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта на обработку его ПДн.
В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором.
Обеспечение конфиденциальности
В статье 7 поменялись требования к обеспечению конфиденциальности ПДн. Теперь для того, чтобы раскрыть и распространить ПДн операторам и иным получившим к ним доступ лицам необходимо согласие субъекта, если иное не предусмотрено федеральным законом.
Содержание письменного согласия, отзыв согласия
В статье 9 теперь конкретно определено, что согласие субъекта может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Если субъект отзовет свое согласие, то оператор вправе продолжить обработку ПДн без согласия субъекта в случаях:
- перечисленных в пунктах 2 – 11 части 1 статьи 6;
- законной обработки специальных категорий ПДн;
- обработка биометрических ПДн осуществляется в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Наличие этих оснований теперь оператор также обязан будет доказывать.
Что касается содержания письменного согласия, то оно добавилось двумя пунктами:
- фамилия, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу.
Также в статье 9 появился пункт, согласно которому ПДн могут быть получены оператором от лица, не являющегося субъектом, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, оснований обработки специальных категорий ПДн и оснований обработки биометрических ПДн без согласия субъекта.
Специальные категории ПДн и биометрические ПДн
В статью 10 внесены изменения, в соответствии с которыми оператор вправе обрабатывать специальные категории ПДн также:
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
Теперь оператор вправе продолжать обработку специальных категорий ПДн даже если устранены причины, вследствие которых она осуществлялась, если это установлено федеральным законом.
В статье 11 изменилось понятие биометрических ПДн. Теперь это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Если они используются оператором для установления личности субъекта, он вправе осуществлять обработку при наличии согласия в письменной форме субъекта (за исключением случаев, предусмотренных частью 2).
Трансграничная передача ПДн
В статье 12, посвященной трансграничной передаче, теперь напрямую определено, что она может осуществляться в соответствии с 152-ФЗ на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн.
Роскомнадзор должен утвердить перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн.
Права субъектов ПДн
Статья 14, регламентирующая реализацию права субъекта на доступ к своим ПДн, также подверглась значительным изменениям.
Теперь помимо ранее установленных 152-ФЗ сведений субъект ПДн имеет право на получение сведений о:
- правовых основаниях и целях обработки ПДн;
- об осуществленной или о предполагаемой трансграничной передаче;
- о наименовании или ФИО и адресе лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- о наименовании и месте нахождения оператора, о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
- иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.
Право на доступ к ПДн может быть ограничено в ранее предусмотренных случаях, а также если:
- обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Расширены требования к запросу субъекта на доступ к его ПДн. Теперь он также должен содержать сведения, подтверждающие участие субъекта в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн.
Также в данной статье зафиксирован предельный срок, который должен истечь для повторного направления запроса субъекта в случае, если оператор ответил на предыдущий его запрос. Этот срок составляет 30 дней (если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн).
Если оператор не предоставил субъекту ответ на предыдущий запрос в полном объеме, субъект вправе обратиться повторно к оператору до истечения 30 дней с обоснованием направления данного повторного запроса.
Оператор вправе мотивированно отказать субъекту в выполнении повторного запроса, не соответствующего вышеуказанным условиям. При этом на нем лежит обязанность представления доказательств обоснованности отказа в выполнении повторного запроса.
В статье 16 увеличен срок, в течение которого оператор обязан рассмотреть возражение субъекта против решения на основании исключительно автоматизированной обработки ПДн, с 7 до 30 дней.
Получение ПДн не от самого субъекта
В статье 18, определяющей обязанности оператора при сборе ПДн, установлены случаи, когда не нужно предоставлять субъекту сведения об обработке его ПДн, если они были получены не от него самого:
1) субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
2) ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
3) ПДн сделаны общедоступными субъектом или получены из общедоступного источника;
4) оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
5) предоставление субъекту ПДн сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.
Часть 3 данной статьи, определяющая перечень сведений, предоставление которых обязательно субъекту при обработке его ПДн, полученных не от него самого, дополнена сведениями об источнике получения ПДн.
Меры для обеспечения выполнения обязанностей операторов, предусмотренных 152-ФЗ
152-ФЗ дополнен статьей 181, устанавливающей, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами.
В данной статье перечислен примерный перечень таких мер:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со статьей 19 152-ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
6) ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
Кроме того по запросу Роскомнадзора оператор обязан представить перечисленные документы и локальные акты, или иным образом подтвердить принятие вышеуказанных мер.
Публикация политики в отношении обработки ПДн
Теперь операторы обязаны публиковать или иным образом обеспечивать неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
Операторы, собирающие ПДн с использованием информационно-телекоммуникационных сетей, должны опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Также в новой статье прописано, что перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, государственными или муниципальными органами устанавливается Правительством Российской Федерации.
Меры по обеспечению безопасности ПДн:\\ их перечень, понятие угроз безопасности и уровня защищенности
Согласно статье 19 в новой редакции при обработке ПДн оператор обязан принимать не только организационные и технические, но и правовые меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении Пдн.
В части 2 данной статьи установлен примерный перечень мер и способов обеспечения безопасности ПДн:
1) определение угроз безопасности ПДн при их обработке в ИСПДн;
2) применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
5) учет машинных носителей ПДн;
6) обнаружение фактов несанкционированного доступа к ПДн и принятием мер;
7) восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
9) контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
Правительство Российской Федерации помимо требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн должно установить также:
- уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных;
- требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн.
При этом под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн. Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.
ФСБ России и ФСТЭК России в пределах своих полномочий устанавливают состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
Полномочия определять угрозы безопасности ПДн в нормативных правовых актах (по согласованию с ФСБ России и ФСТЭК России)
В новой редакции данной статьи заложено право федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в пределах своих полномочий принимать нормативные правовые акты, определяющие угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания ПДн, характера и способов их обработки. Проекты нормативных правовых актов, определяющих угрозы безопасности ПДн, должны быть согласованы с ФСБ России и ФСТЭК России.
Полномочия операторских сообществ определять дополнительные угрозы (по согласованию с ФСБ России и ФСТЭК России)
Помимо таких угроз безопасности ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания ПДн, характера и способов их обработки. Проекты решений должны быть согласованы с ФСБ России и ФСТЭК России в порядке, установленном Правительством Российской Федерации.
Решение ФСБ России и ФСТЭК России об отказе в согласовании проектов решений должно быть мотивированным.
По решению Правительства Российской Федерации с учетом значимости и содержания обрабатываемых ПДн ФСБ России и ФСТЭК России могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн, установленных в соответствии с этой статьей, при их обработке в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными ИСПДн, без права ознакомления с ПДн, обрабатываемыми в ИСПДн.
Рассмотрение операторами обращений субъектов ПДн и запросов Роскомнадзора
Согласно статьи 20 при получении обращения субъекта оператор обязан сообщить информацию о наличии ПДн в соответствии со статьей 14 152-ФЗ в течение 30 дней (а не 10 дней, как было установлено раньше) с даты получения запроса субъекта ПДн или его представителя.
Также увеличен срок предоставления субъекту мотивированного ответа оператора при отказе в предоставлении информации с 7 рабочих дней до 30 дней.
Часть 3 данной статьи определяет, что оператор обязан внести в ПДн необходимые изменения в течение 7 рабочих дней со дня предоставления субъектом или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными. Такой же срок дается оператору, чтобы уничтожить ПДн, если субъектом или его представителем будут представлены сведения, подтверждающие, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
При получении запроса от Роскомнадзора о предоставлении необходимой информации оператор обязан сообщить ее в течение 30 дней (ранее – 7 рабочих дней) с даты получения такого запроса.
Блокирование и уточнение ПДн
Если при обращении субъекта, его представителя или по запросу субъекта, его представителя либо Роскомнадзора оператором будет выявлена неправомерная обработка ПДн, оператор будет обязан заблокировать неправомерно обрабатываемые ПДн, относящиеся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
При подтверждения факта неточности ПДн оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн.
Прекращение обработки и уничтожение ПДн. Отзыв согласия субъекта
При выявлении неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора. Уничтожить ПДн или обеспечить их уничтожение в течение 10 рабочих дней с даты выявления неправомерной обработки оператор теперь обязан в случае, если невозможно обеспечить правомерность обработки ПДн.
Прекратить обработку или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора), а также уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней (раньше – 3 рабочих дня) с даты достижения цели обработки ПДн оператор теперь обязан в случае достижения цели обработки ПДн и если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- иное не предусмотрено иным соглашением между оператором и субъектом ПДн;
- оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами.
При отзыве субъектом согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение 30 дней (ранее 3 рабочих дня) с даты поступления, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- иное не предусмотрено иным соглашением между оператором и субъектом ПДн;
- оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами.
Возможность не уничтожать ПДн
Новая редакция 152-ФЗ предусматривает случай, когда у оператора нет возможности уничтожить ПДн в установленные сроки. Тогда оператор обязан заблокировать ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечить их уничтожение в течение 6 месяцев, если иной срок не установлен федеральными законами.
Уведомление об обработке ПДн: содержание, основания неподачи уведомления
Вносятся изменения в статью 22, предусматривающую случаи, когда оператор вправе не подавать Уведомление в Роскомнадзор.
В частности, внесены изменения в основания неподачи уведомления при обработке ПДн:
- в соответствии с трудовым законодательством (а не только при обработке ПДн работников как это было раньше);
- сделанных субъектом ПДн общедоступными;
- включенных в государственные автоматизированные информационные системы (ранее федеральные автоматизированные информационные системы).
Также появилось новое основание - обработка ПДн в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В содержании уведомления конкретизирован пункт про меры обеспечения безопасности ПДн:
описание мер, предусмотренных статьями 181 и 19 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
Теперь в уведомлении необходимо будет также указывать:
- фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
- сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации.
Назначение лица, ответственного за организацию обработки ПДн
Глава 4 дополняется статей 221, которая накладывает на оператора обязанность назначить лицо, ответственное за организацию обработки ПДн, устанавливает его обязанности:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Направление Роскомнадзором сведений в ФСБ России и ФСТЭК России
Права Роскомнадзора, перечисленные в части 3 статьи 23, дополнены правом направлять в ФСБ России и ФСТЭК России сведения об описании мер обеспечения безопасности ПДн, указанные оператором в уведомлении.
Возмещение морального вреда
В статье 24, посвященной ответственности за нарушение требований 152-ФЗ, добавлена часть 2 (о возмещении морального вреда), согласно которой моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных 152-ФЗ, а также требований к защите ПДн, установленных в соответствии с 152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.
Предоставление дополнительных сведений в Роскомнадзор
Согласно части 21 новой редакции статьи 25 операторы, которые осуществляли обработку ПДн до 1 июля 2011 года, должны представить в Роскомнадзор не позднее 1 января 2013 года следующие сведения:
- правовые основания обработки ПДн;
- фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
- сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации.
Действие новой редакции во времени
Действие положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в новой редакции будет распространяться на правоотношения, возникшие с 1 июля 2011 года.