Мониторинг законодательства и судебной практики №88 (с 6 августа 2022 года по 12 сентября 2022 года)
У вашего кадровика есть компьютер? Не забудьтеуведомить Роскомнадзор.
Дата вступления в силу: часть изменений с 1 сентября 2022 года, другая часть – с 1 марта 2023 года.
Закон № 266-ФЗ увеличивает нагрузку на операторов персональных данных (далее – операторы). Теперь операторы должны составлять больше документов и чаще "общаться" с государственными органами. В том числе:
1. Почти все операторы, которые ранее не были обязаны уведомлять Роскомнадзор об обработке персональных данных, теперь обязаны это сделать.
Осталось только три случая, когда персональные данные можно обрабатывать без уведомления Роскомнадзора: (i) обработка в государственных информационных системах, (ii) обработка без средств автоматизации (что вряд ли возможно в современной жизни) и (iii) обработка в целях транспортной безопасности.
Например, если организация обрабатывает персональные данные своих работников в рамках трудового законодательства и "с использованием средств автоматизации", то до 1 сентября 2022 года уведомлять об этом Роскомнадзор не требовалось, а с 1 сентября 2022 года – требуется.
С практической точки зрения это означает, что уведомления в Роскомнадзор должны направить все юридические лица, в которых есть хотя бы один работник.
Единственное послабление – Роскомнадзор сообщает, что "1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных".
2. Операторы обязаны уведомлять Роскомнадзор об утечках персональных данных.
Оператор, обнаруживший "факт неправомерной или случайной передачи (предоставления, распространения,доступа)персональныхданных",обязануведомитьРоскомнадзорвтечение24часов
– об утечке, в течение 72 часов – о результатах внутреннего расследования с указанием причин и лиц, действия которых привели к утечке.
3. Операторы обязаны взаимодействовать с государственной системой
"обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование … о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональныхданных".
Порядок взаимодействия утвердит ФСБ России.
4. С 1 марта 2023 года усложняется порядок трансграничной передачи персональных данных.
Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных до того, как начнет передавать данные за границу.
Если оператор занимается трансграничной передачей данных в настоящее время, то он должен уведомить Роскомнадзор не позднее 1 марта 2023 года.
Уведомить Роскомнадзор о "необходимо один раз для каждой страны, в которую будут передаваться данные, а не о каждой транзакции", – разъясняет Роскомнадзор.
ДоподачиуведомлениявРоскомнадзороператоробязанполучитьоторгановвластииностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача данных (далее – иностранный получатель),сведения:
- о принимаемых ими мерах по защите передаваемых персональных данных и об условиях прекращения ихобработки;
- о правовом регулировании в области персональных данных (только для государств, которые не обеспечивают адекватную защиту персональныхданных);
- наименование/имя и контактные данные иностранного получателя.
Получив уведомление, Роскомнадзор вправе запретить или ограничить трансграничную передачу данных.
Если передача данных планируется в государство, которое не обеспечивает адекватную защиту персональных данных (перечень таких государств утвердит Роскомнадзор), то оператор не вправе начинать трансграничную передачу, пока не истек срок рассмотрения его уведомления Роскомнадзором.
Если передача данных планируется в государство, которое обеспечивает адекватную защиту персональных данных, то оператор вправе начать трансграничную передачу сразу после отправки уведомления в Роскомнадзор (не дожидаясь ответной реакции Роскомнадзора).
Если оператор после начала трансграничной передачи данных получил уведомление от Роскомнадзора, что трансграничная передача запрещена или ограничена, то оператор обязан немедленно прекратить передачу данных за границу и "обеспечить уничтожение" иностранным получателем персональных данных, которые были переданы ранее.
Другие интересные изменения, предусмотренные Законом № 266-ФЗ.
Закон РФ от 7 февраля 1992 года №2300-I "О защите прав потребителей "дополнен требованием, что на смартфоны, планшеты, компьютеры и телевизоры с цифровым блоком управления в РФ должен предустанавливаться российский единый магазин приложений. Точные сроки реализации этого требования из закона непонятны.
Согласно распоряжению Правительства РФ от 13.08.2022 №2235-р создание и функционирование такого магазина приложений обеспечит ООО"ВК".