Обзоры законодательства
Госдума приняла в первом чтении законопроект о масштабных поправках в закон «О персональных данных»
- Авторы: Антонина Шишанова, Вадим Ковалёв
- Услуга: Защита данных
- Дата: 25.05.2022
Законопроект выглядит масштабно: 34 страницы текста и, пожалуй, поправок в таком объеме законодательство о персональных данных в России еще не видело.
Уже сейчас стоит обратить внимание на следующие существенные изменения:
- Вводится экстерриториальность применения ФЗ «О персональных данных», в частности, его положения будут распространяться на обработку, осуществляемую иностранными лицами в отношении персональных данных граждан РФ.
- Устанавливается прямой запрет на отказ гражданам в оказании услуг при отказе предоставить свои ПД, если такое предоставление не является обязательным.
- Устанавливается обязанность операторов ПД в течение 24 часов уведомлять Роскомнадзор о компьютерных инцидентах с персональными данными. Также операторы ПД будут обязаны обеспечивать непрерывное взаимодействие с системой ГосСОПКА[1], в том числе, для информирования о компьютерных инцидентах, повлекших «утечку» персональных данных.
- Втрое сокращается срок реагирования на запросы Роскомнадзора и субъектов ПД – до 10 рабочих дней. Также устанавливается максимальный срок реагирования на требования субъектов ПД о прекращении обработки ПД, их уточнении, блокировки или уничтожении – 30 дней с даты получения такого требования.
- Исключается ряд оснований, позволявших обрабатывать ПД без уведомления Роскомнадзора, в том числе, обработка ПД в соответствии с трудовым законодательством и обработка ПД исключительно для исполнения договора с субъектом.
- Вводится запрет на обработку биометрических ПД несовершеннолетних.
- Согласие на обработку ПД теперь должно быть не «конкретным, информированным и сознательным», а «конкретным, предметным, информированным, сознательным и однозначным».
- Ограничивается свободное получение сведений о правообладателе недвижимости из ЕГРН.
Выделим также значимые изменения для операторов, осуществляющих трансграничную передачу ПД:
- Вводится новый порядок уведомления Роскомнадзора об осуществлении трансграничной передачи ПД:
- для осуществления передачи ПД российских граждан за границу необходимо будет уведомить об этом Роскомнадзор (в виде документа на бумажном носителе или в форме электронного документа);
- направленное уведомление будет 30 дней рассматриваться различными госорганами (Роскомнадзор, ФСБ, Минобороны);
- по результатам рассмотрения уведомления, трансграничная передача ПД может быть запрещена по целому ряду широко определенных причин: в целях защиты конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства;
- Пока не будет завершена вышеуказанная процедура уведомления, оператор не может осуществить передачу ПД в страны, не обеспечивающих адекватную защиту прав субъектов ПД. К странам, которые не обеспечивают адекватную защиту, в частности, относятся США, Китай. При этом возможность оператора осуществлять трансграничную передачу ПД на территорию стран, обеспечивающих адекватную защиту прав субъектов ПД (например, страны ЕС), не ограничивается;
- В случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи ПД, оператор обязан обеспечить уничтожение получателем ранее переданных ему ПД.
До 22 июня 2022 года предлагается внесение правок в законопроект, после чего он будет рассматриваться во втором чтении.
Также напоминаем, что 01 мая 2022 года были приняты поправки в статью 16 Закона «О защите прав потребителей» в части сбора персональных данных потребителей. Новый пункт 4 данной статьи устанавливает запрет продавцам (исполнителям, владельцам агрегаторов) отказывать потребителю в заключении, исполнении, изменении или расторжении договора при отказе потребителя предоставить свои ПД. Исключением являются случаи, когда такое предоставление является обязательным в соответствии с законодательством РФ или непосредственно связано с исполнением договора с потребителем.
В дополнение к этому были приняты корреспондирующие изменения в статью 14.8 КоАП РФ – согласно новой части 7 данной статьи отказ потребителю в заключении, исполнении, изменении или расторжении договора при его отказе предоставить свои ПД в отсутствие вышеуказанных исключений может повлечь штраф на должностных лиц до 10 000 рублей; на юридических лиц – до 50 000 рублей.
Данные нововведения вступают в силу 01 сентября 2022 года.
Мы продолжим следить за дальнейшими движениями законодательства и держать в курсе последних новостей.
[1] Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации