Изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»

1559

 Дата: 14.07.2022 г. (обновлено 08.09.2022 г.)

          Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», затрагивающих порядок осуществления обработки персональных данных (ПДн) и мер по обеспечению их безопасности операторами.

В связи с этим операторам потребуется реализовать мероприятия, направленные на выполнение требований законодательства о защите ПДн

Скачать Перечень мероприятий

Порядок осуществления обработки ПДн и меры по обеспечению их безопасности включают:

    Обязанность оператора обеспечивать взаимодействия с ГосСОПКА с целью информирования о компьютерных инцидентах

    Уведомление Роскомнадзора (РКН) о намерении осуществления трансграничной передачи ПДн

    Изменения в структуре уведомления об обработке ПДн

Мероприятия, направленные на выполнение требований 152-ФЗ в связи с изменениями от 14.07.2022

Требование Комментарий Правовое основание Реализуемые мероприятия (мероприятие подлежит реализации с момента вступления изменений в силу, если срок его выполнения явно не указан)
Уведомление об утечке ПДн Оператор ПДн обязан обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.

Порядок взаимодействия определяет ФСБ России (полученную от оператора ПДн посредством ГосСОПКА информацию о компьютерном инциденте ФСБ России передает в РКН, который ведет реестр учета инцидентов в области ПДн).

ФЗ № 152, ст. 19 ч. 12-14, ст. 23 ч. 10-11 Разработать «Регламент реагирования на инциденты, связанные с нарушением безопасности персональных данных» и ознакомить с ним лиц, ответственных за реагирование на инциденты. В документ, в том числе, необходимо включить описание порядка взаимодействия с ГосСОПКА. К способам взаимодействия, в частности, относится информирование посредством электронной почты (мероприятие подлежит реализации с момента вступления изменений в силу, если срок его выполнения явно не указан).
Оператор ПДн обязан соблюдать следующие установленные сроки информирования РКН об установленных фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн:

  • 24 часа – оповещение о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставление сведений о лице, уполномоченном оператором на взаимодействие с РКН, по вопросам, связанным с выявленным инцидентом;
  • 72 часа – оповещение о результатах внутреннего расследования выявленного инцидента, а также предоставление сведений о лицах, действия которых стали причиной выявленного инцидента (при наличии).
ФЗ № 152, ст. 21 ч. 3.1 1. Ответственному за реагирование на инциденты завести на портале Госуслуг учетную запись  и привязать ее к организации оператора для дальнейшего взаимодействия с РКН через портал Госуслуг.

2. В течение 24 часов с момента обнаружения инцидента лицо, назначенное ответственным за реагирование на инциденты, осуществляет информирование РКН в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных». Ссылка для заполнения электронной формы уведомления.

3. Результаты внутреннего расследования в течение 72 часов с момента обнаружения инцидента направляются в РКН ответственным за реагирование. Внутреннее расследование инцидента осуществляется в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных». Ссылка для заполнения формы уведомления (для предоставления дополнительной информации о результатах внутреннего расследования инцидента необходимо заполнить поля, указав номер и ключ уведомления, которые были получены в ответном информационном письме на ранее поданное уведомление о факте неправомерной или случайной передачи ПДн).

Уведомление о намерении осуществления трансграничной передачи ПДн Документированное уведомление РКН об осуществлении деятельности по трансграничной передаче ПДн (указанное уведомление отличается от уведомления о намерении осуществлять обработку ПДн).

Уведомление о намерении осуществлять трансграничную передачу ПДн должно содержать следующие сведения:

  • наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку ПДн, ранее направленного оператором;
  • наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки ПДн, номера контактных телефонов, почтовые адреса и адреса электронной почты;
  • правовое основание и цель трансграничной передачи ПДн и дальнейшей обработки переданных ПДн;
  • категории и перечень передаваемых ПДн;
  • категории субъектов ПДн, ПДн которых передаются;
  • перечень иностранных государств, на территории которых планируется трансграничная передача ПДн;
  • дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке (оценка проводится на основании полученных от иностранного партнера сведений, предварительно запрошенных оператором).

 

В случае, когда РКН принимает решение о запрещении или об ограничении трансграничной передачи ПДн, оператор обязан обеспечить уничтожение иностранным партнером ранее переданных ему ПДн.

ФЗ № 152, ст. 12 ч. 3-6, ч. 14 1. Дополнить «Положение об обработке и защите ПДн» разделом, регламентирующим порядок трансграничной передачи.

2. До 01.03.2023 г. получить от иностранных партнеров, которым осуществляется трансграничная передача персональных данных, следующие сведения:

  • сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения их обработки;
  • сведения  о правовом регулировании в области ПДн иностранного государства, под юрисдикцией которого находится иностранное юридическое лицо (в случае, если трансграничная передача ПДн осуществляется иностранному партнеру под юрисдикцией государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн);
  • сведения об иностранных юридических лицах (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

3. До 01.03.2023 г. подать уведомление в РКН о трансграничной передаче ПДн, подписанное уполномоченным лицом, направить в виде документа на бумажном носителе или в форме электронного документа (необходима учетная запись на портале Госуслуг, привязанная к организации оператора). Ссылка для заполнения формы уведомления.

4. В случае возникновения новых бизнес-процессов, предполагающих трансграничную передачу ПДн, до заключения договора с иностранным партнером (либо российским юридическим лицом, представляющим интересы иностранного партнера) необходимо получить от него сведения, касающиеся обработки ПДн, и направить уведомление в РКН о трансграничной передаче ПДн. Договор следует заключать после подтверждения РКН возможности такой трансграничной передачи. (Решение о запрещении или об ограничении трансграничной передачи ПДн принимается РКН в течение 10 рабочих дней с даты поступления уведомления.)

В случае вынесения со стороны РКН решения о запрещении или об ограничении трансграничной передачи ПДн оператор, осуществлявший такую передачу до вступления в силу изменений, обязан обеспечить уничтожение иностранным партнером ранее переданных ему ПДн (путем направления оператором запроса и получения ответа от иностранного партнера о факте уничтожения ПДн).

Сокращение срока реагирования на запросы субъектов ПДн и РКН Оператор должен предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, в течение 10 рабочих дней с момента обращения или получения запроса. Срок может быть продлен не более чем на 5 рабочих дней. В случае отказа в предоставлении информации оператор обязан дать в письменной форме мотивированный ответ в течение 10 рабочих дней.

Оператор обязан прекратить обработку ПДн в течение 10 рабочих дней (в случае обращения субъекта ПДн с требованием о прекращении обработки).

Оператор обязан сообщить в РКН по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Срок может быть продлен не более чем на 5 рабочих дней в случае направления оператором в адрес РКН мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

ФЗ № 152, ст. 14 ч. 3, ст. 20 ч. 1, ч. 2, ч. 4 Внести корректировки в документ, регламентирующий процедуру реагирования на запросы субъектов ПДн и уполномоченного органа по защите прав субъектов ПДн
Детализация Политики обработки ПДн В политике обработки ПДн оператор должен для каждой цели обработки ПДн указать категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.

Политика обработки ПДн не может содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на оператора не предусмотренные законодательством полномочия и обязанности.

ФЗ № 152, ст. 18.1 ч. 1 Внести корректировки в политику обработки ПДн и (или) в положение об обработке и защите ПДн
Оценка вреда, причиняемого субъектам ПДн в случае нарушения требований ФЗ № 152 Оператор в соответствии с установленными РКН требованиями должен оценить вред, который может быть причинен субъектам ПДн в случае нарушения законодательства по защите ПДн ФЗ № 152, ст. 18.1 ч. 1 п. 5 Провести оценку вреда субъектам ПДн, руководствуясь установленными РКН требованиями, начиная со дня их утверждения
Детализация поручения на обработку ПДн В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные ФЗ № 152, обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных ФЗ № 152, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ № 152, в том числе требование об уведомлении оператора об инцидентах в области ПДн ФЗ № 152, ст. 6 ч. 3 1. Актуализировать используемый в компании шаблон поручения на обработку ПДн.

2. Провести инвентаризацию ранее заключенных поручений на обработку ПДн и подписать с партнерами обновленную форму поручения обработки ПДн.

Детализация и регулярная актуализация уведомления об обработке ПДн, направляемого оператором в РКН В уведомлении РКН для каждой цели обработки ПДн оператор должен указать категории ПДн, категории субъектов ПДн, правовое основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн.

В случае изменения сведений, указанных в уведомлении об обработке ПДн, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить РКН обо всех произошедших за указанный период изменениях. В случае прекращения обработки ПДн оператор обязан уведомить об этом РКН данных в течение 10 рабочих дней.

Для государственных учреждений:

В уведомлении об обработке ПДн должны содержаться фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в государственных и муниципальных информационных системах оператора.

ФЗ № 152, ст. 22 ч. 3, ч. 7 1. Актуализировать уведомление РКН об обработке ПДн после обновления соответствующей формы на сайте РКН.

2. Регламентировать обязанность лица, ответственного за организацию обработки ПДн, проводить анализ необходимости обновления уведомления РКН об обработке ПДн с периодичностью 1 раз в месяц и сроком уведомления РКН о прекращении обработки ПДн.

 

Актуализация договора, стороной либо выгодоприобретателем или поручителем по которому является субъект ПДн Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн ФЗ № 152, ст. 6 ч. 1 п. 5 Проанализировать существующие в компании шаблоны договоров, стороной либо выгодоприобретателем или поручителем по которым является субъект ПДн, и при необходимости внести корректировки
Информирование субъектов ПДн о юридических последствиях отказа предоставления ими ПДн и (или) дачи согласия на обработку ПДн Если в соответствии с ФЗ № 152 предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку ФЗ № 152, ст. 18, ч. 2 Довести до субъектов ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на их обработку в соответствии с разработанным документом, содержащим типовую форму разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн

В начало статьи 

Похожие статьи

Для блога2
Защита критической информационной инфраструктуры 2021-2022. Тренды и прогнозы.
  • Основные этапы и особенности реализации требований 187-ФЗ.
  • АСУ ТП как объект КИИ. Практика реализации защиты.
  • Импортозамещение в КИИ. Проблемы и решения.
  • Субсидии для субъектов КИИ. Как получить?
  • Обеспечение безопасности КИИ за минимальный бюджет.
1544
Блог_Видеобзор Импортощамещение в ИТ и ИБ
Видеообзор - Импортозамещение ИТ и ИБ

Обзор требований по импортозамещению, в том числе Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» и Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»

Смотреть видео

101
Блог_Обзор НПА_ГОСТы
Обзор обновлений ГОСТ по информационной безопасности в 2022 году

В начале 2022 года вступили в силу изменения в комплексе стандартов на автоматизированные системы (далее – АС) и ряде стандартов в области информационной безопасности (далее – ИБ), утвержденных Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт)…

Скачать ГОСТы.

593