Автор: Ксения Кузнецова, аналитик
В целях усиления защиты прав граждан на неприкосновенность частной жизни в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) внесены изменения, принятые Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ).
- обязательного уведомления Роскомнадзора о начале обработки персональных данных (далее – ПДн);
- экстерриториальности 152-ФЗ и трансграничной передачи ПДн;
введения новой обязанности операторов ПДн – информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
Большинство вносимых изменений вступают в силу с 01.09.2022.
В апреле Аналитический центр отмечал предлагаемые нововведения, а в этом обзоре подробно осветим уже утвержденные изменения.
Разберем подробнее основные изменения в 152-ФЗ и как их выполнять операторам ПДн (далее – Оператор).
Напомним, что ПДн – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн. Под обработкой ПДн подразумевается любое действие – сбор, запись, хранение, накопление, распространение и иные операции.
Вводимые изменения дополняют и уточняют требования в отношении обработки ПДн.
Ранее было предусмотрено больше случаев, когда разрешалась обработка ПДн без уведомления Роскомнадзора, теперь исключения распространяются только на неавтоматизированную обработку и обработку в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка. Напомним случаи, когда ранее можно было обрабатывать ПДн без уведомления Роскомнадзора:
- обработка в соответствии с трудовым законодательством;
- обработка ПДн, полученных Оператором при заключении договора с субъектом ПДн;
- обработка ПДн, субъектов относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией для достижения законных целей, предусмотренных их учредительными документами;
- обработка ПДн, разрешенных субъектом ПДн для распространения;
- обработка ПДн, включающих в себя только фамилии, имена и отчества субъектов ПДн;
- обработка ПДн, необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится Оператор.
В случае изменения сведений об обработке ПДн, Оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, должен уведомить Роскомнадзор обо всех изменениях. При прекращении обработки ПДн Оператор должен уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки. После такого уведомления Роскомнадзор должен исключить организацию из реестра Операторов.
Нововведения запрещают Оператору отказывать в услуге субъектам ПДн, не давшим согласия на обработку своих ПДн (в том числе биометрических ПДн). Оператор должен разъяснить субъекту ПДн юридические последствия отказа предоставления ПДн и (или) согласия на их обработку.
Изменения в 152-ФЗ коснулись срока реагирования на обращения субъектов ПДн, так срок был сокращен с 30 дней до 10 рабочих дней. При этом, срок может быть продлен на 5 рабочих дней в случае направления Оператором в Роскомнадзор уведомления с указанием причин такого продления. Также важно отметить, что при обращении субъекта ПДн с требованием прекратить обработку его ПДн Оператор должен выполнить требование в течение 10 дней.
Также в изменениях явно указано, что заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы несовершеннолетних, и положения, допускающие бездействие субъекта ПДн.
Изменения вводят новое понятие – лицо, осуществляющее обработку ПДн по поручению Оператора. Напомним, что аналогичная сущность представлена в европейских нормах (GDPR) в виде процессора или обработчика.
Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн. При этом, поручение обработки ПДн должно содержать:
- перечень ПДн;
- перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн по поручению оператора;
- цели обработки ПДн;
- требования к защите обрабатываемых ПДн;
- требования об уведомлении Оператора о неправомерной обработке ПДн;
- обязанности лица, осуществляющего обработку ПДн по поручению оператора.
К обязанностям лица, осуществляющего обработку ПДн по поручению оператора, относятся:
- соблюдение конфиденциальности ПДн;
- обеспечение записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения ПДн граждан РФ в базах данных, находящихся на территории РФ;
- соблюдение требований Оператора, в том числе предоставление информации, подтверждающей принятие и соблюдение мер по защите ПДн;
- обеспечение безопасности ПДн при их обработке.
Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед Оператором. Ответственность перед субъектом ПДн за действия лица, осуществляющего обработку ПДн по поручению оператора, несет сам Оператор.
Нововведения вводят экстерриториальность 152-ФЗ и устанавливают возможность вмешательства уполномоченных органов в вопросы обработки иностранными лицами ПДн российских граждан.
Операторы, которые осуществляют или планируют осуществлять трансграничную передачу ПДн, обязаны не позднее 01.03.2023 направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу ПДн (форма и состав уведомления указаны в п. 7 ст. 1 266-ФЗ). При этом до осуществления трансграничной передачи ПДн Оператор должен получить от иностранных лиц (полный состав сведений указан в п. 7 ст. 1 266-ФЗ):
- сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения их обработки;
- информацию о правовом регулировании в области ПДн иностранного государства;
- сведения об иностранных лицах, которым планируется трансграничная передача ПДн.
В целях оценки достоверности предоставленных данных Роскомнадзор может запросить дополнительные сведения о трансграничной передаче ПДн, на ответ на такой запрос необходимо предоставить в течение 10 рабочих дней, срок может быть продлен до 15 рабочих дней при направлении мотивированного уведомления о задержке предоставления данных в Роскомнадзор.
При запрете или ограничении Роскомнадзором заявленной трансграничной передачи ПДн Оператор должен обеспечить уничтожение у иностранных лиц ранее переданных ПДн с получением факта уничтожения ПДн. В свою очередь, Роскомнадзор до 01.03.2023 должен установить требования по подтверждению уничтожения ПДн.
Согласно 266-ФЗ к 01.09.2022 Оператор должен обеспечить информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, а также обеспечить взаимодействие с ГосСОПКА в порядке, определенном ФСБ России.
Оператор с момента выявления инцидента должен направить уведомление о:
- неправомерной или случайной передаче (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн в течение 24 часов;
- результатах внутреннего расследования в отношении неправомерной или случайной передачи ПДн в течение 72 часов.
Напомним, что Приказом ФСБ России от 19.06.2019 № 282 предусмотрено несколько вариантов информирования об инцидентах в ГосСОПКА:
- по электронной почте, телефону или факсу;
- посредством технического подключения к инфраструктуре ГосСОПКА.
Подключиться к инфраструктуре ГосСОПКА Оператор может самостоятельно или через подключение к коммерческим центрам мониторинга информационной безопасности (далее – ИБ), имеющим соглашение о сотрудничестве Национальным координационным центром по компьютерным инцидентам (ФСБ России). Примером такого центра мониторинга является USSC-SOC.
Полученную информацию об инцидентах ФСБ России должна передать в Роскомнадзор. Роскомнадзор к 01.03.2023 должен организовать ведение реестра учета инцидентов в области ПДн, а также определить порядок и условия взаимодействия с Операторами в рамках ведения указанного реестра.
Ранее уже была зафиксирована обязанность Оператора проводить оценку вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ. Вносимые изменения в 152-ФЗ уточняют, что данную оценку необходимо проводить в соответствии с требованиями, установленными Роскомнадзором, которые должны быть опубликованы к 01.03.2023.
первоочередные действия – ДО 01.09.2022:
1. Операторам, ведущим обработку ПДн в целях, ранее попадающих под исключения в части уведомления Роскомнадзора, – подать уведомление о намерении осуществлять обработку ПДн с указанием для каждой цели обработки ПДн:
- категории ПДн;
- категории субъектов, ПДн которых обрабатываются;
- правовое основание обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
2. Оператором, поручающим обработку ПДн третьим лицам, разработать или актуализировать поручение на обработку ПДн с указанием:
- перечня ПДн,
- перечня действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн по поручению оператора;
- целей обработки ПДн;
- требований к защите обрабатываемых ПДн;
- требований об уведомлении Оператора о неправомерной обработке ПДн;
- обязанности лица, осуществляющего обработку ПДн по поручению оператора.
3. Исключить в договорах, стороной которого является субъект ПДн, положения:
- ограничивающие права и свободы субъектов ПДн;
- устанавливающие случаи обработки ПДн несовершеннолетних, если обработка ПДн несовершеннолетних явно не предусмотрена законодательством РФ;
- допускающие в качестве условий заключения договора бездействие субъекта ПДн.
4. Оценить количество событий безопасности в информационных системах ПДн и принять решение о способе информирования ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн. Если количество событий велико, а специалистов в области информационной безопасности у Оператора недостаточно для обработки этих событий, то рекомендуется, как минимум, внедрить средство централизованного управления событиями класса SIEM. Ведь для того, чтобы определить, является ли событие компьютерным инцидентом, а также понять, влечет ли этот инцидент неправомерную передачу (предоставление, распространение, доступ) ПДн, необходимо проанализировать все «подозрительные» события и сделать вывод об их принадлежности к компьютерным инцидентам того типа, о которых нужно информировать ФСБ России. Также для крупных Операторов рекомендуется техническое подключение к инфраструктуре ГосСОПКА напрямую или через коммерческие центры мониторинга ИБ.
5. Разработать или актуализировать организационно-распорядительную документацию в части:
5.1 Обработки ПДн:
- уточнить для каждой заявленной цели обработки ПДн перечень и категории обрабатываемых ПДн, категории субъектов ПДн, способы, сроки обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований;
- зафиксировать, что в случае изменения сведений об обработке ПДн, необходимо проинформировать Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;
5.2 Реагирования на обращения субъектов ПДн:
- сократить срок реагирования на обращения субъектов ПДн с 30 дней до 10 рабочих дней и предусмотреть возможность направления в Роскомнадзор уведомления о продлении срока предоставления запрашиваемой информации до 5 рабочих дней;
- регламентировать прекращение обработки ПДн в течение 10 дней при поступлении соответствующего обращения от субъекта ПДн.
5.3 Разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн в случае, если обработка ПДн и получение согласия на их обработку обязательны в соответствии с федеральным законодательством РФ.
5.4 Реагирования на компьютерные инциденты, повлекших неправомерную передачу ПДн:
- определить порядок взаимодействия с ГосСОПКА;
- зафиксировать, что в течение 24 часов с момента обнаружения инцидента необходимо проинформировать ФСБ России;
- зафиксировать, что в течение 72 часов с момента обнаружения инцидента необходимо направить результаты внутреннего расследования в ГосСОПКА.
Важно также назначить или актуализировать функции ответственных лиц, а также ознакомить их с внесенными изменениями.
1. При осуществлении трансграничной передаче ПДн или при намерении осуществлять такую передачу оператору необходимо:
1.1. Направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу ПДн (форма и состав уведомления указаны в п. 7 ст. 1 266-ФЗ).
1.2. Получить от иностранных лиц (полный состав сведений указан в п. 7 ст. 1 266-ФЗ):
- сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения их обработки:
- информацию о правовом регулировании в области ПДн иностранного государства;
- сведения об иностранных лицах, которым планируется трансграничная передача ПДн.
1.3. Предоставить в Роскомнадзор сведения о трансграничной передаче ПДн в течение 10 рабочих дней.
1.4. Убедиться, что иностранное лицо сможет уничтожить и подтвердить факт уничтожения ранее переданных ПДн – на тот случай, если Роскомнадзор запретит или ограничит заявленную Оператором трансграничную передачу ПДн.
1.5. Разработать или актуализировать организационно-распорядительную документацию в части трансграничной передачи ПДн с учетом вышеуказанных пунктов.
2. Регламентировать и провести оценку вреда субъектам ПДн согласно требованиям, которые должны быть утверждены Роскомнадзором до 01.03.2023.