Предусмотрены дополнительные требования к согласию на обработку ПД:
Ранее от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным (ч. 1 ст. 9 Закона о ПД в новой ред.).
Пока не сложится практика применения данной нормы, сложно сказать, в чем существенное отличие нового регулирования. Пояснительная записка к законопроекту не освещает это изменение. На наш взгляд, понятие конкретности согласия настолько тесно связано с его предметностью и однозначностью, что и до этого согласие субъекта ПД предполагалось дающимся в отношении определенных видов ПД и определенных видов их обработки (предметность) и не допускающим различного толкования (однозначность).
Расширен круг случаев, на которые не распространяются особенности обработки ПД, разрешенных субъектом ПД для распространения:
Такие особенности, установленные ст. 10.1 Закона о ПД, ранее не распространялись на обработку ПД федеральными и региональными органами исполнительной власти, а также органами местного самоуправления при исполнении их функций, полномочий и обязанностей. С 1 сентября круг этих лиц пополнится организациями, подведомственными таким органам (ч. 15 ст. 10.1 Закона о ПД в новой ред.).
Дополнены обязанности оператора при сборе персональных данных:
- оператор обязан разъяснить субъекту ПД юридические последствия не только отказа предоставить его ПД (ныне действующая норма), но и отказа дать согласие на их обработку, если в соответствии с федеральным законом получение оператором согласия на обработку ПД является обязательным (ч. 2 ст. 18 Закона о ПД в новой ред.),
- в круг сведений, которые оператор обязан предоставить субъекту ПД до начала обработки, если ПД получены от третьих лиц, включен сам перечень ПД (п. 2.1 ч. 3 ст. 18 Закона о ПД в новой ред.).
Изменены требования к локальным актам по вопросам обработки ПД:
Во-первых, уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД:
- в них должны определяться для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований,
- запрещено включать в них положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о ПД в новой ред.).
Во-вторых, конкретизировано, где именно в соответствующей информационно-телекоммуникационной сети оператор, осуществляющий сбор ПД с использованием таких сетей, обязан опубликовать документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД – а именно, на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПД (ч. 2 ст. 18.1 Закона о ПД в новой ред.). Однако формулировка “в том числе” указывает, что это не исключительный способ опубликования сведений.
Существенным образом изменено регулирование уведомления Роскомнадзора о начале обработки ПД:
Перечень случаев, когда обработка возможна без такого уведомления, урезан до обработки ПД:
- включенных в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства,
- в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации (ч. 2 ст. 22 Закона о ПД в новой ред.).
Отметим, что последний случай сформулирован в законе таким образом, что речь не идет о возможности неуведомления Роскомнадзора об обработке какого-то объема ПД без использования средств автоматизации (сравните новую и старую формулировку п. 8 ч. 2) – по всей видимости, с 1 сентября обработку можно осуществлять без уведомления Роскомнадзора только тогда, когда оператор вообще осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации, т.е. абсолютно все ПД им обрабатываются таким способом.
Несмотря на то, что законодатель значительно увеличил число случаев, в которых уведомление Роскомнадзора необходимо, он не предусмотрел никаких переходных положений по срокам направления уведомления для тех операторов, которые ранее не обязаны были направлять такое уведомление. Официальных разъяснений на этот счет тоже пока нет. Мы полагаем наименее рискованным направление уведомления НЕ ПОЗДНЕЕ ПЕРВОГО ДНЯ действия новой редакции Закона о ПД – 1 сентября..
Несколько изменены требования к содержанию уведомления:
- в нем дополнительно следует указать ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, содержащихся в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 Закона о ПД в новой ред.);
- а категории ПД, категории субъектов, ПД которых обрабатываются, правовое основание обработки ПД, перечень действий с ПД, способы обработки ПД отныне следует указывать для каждой цели обработки ПД (ч. 3.1 ст. 22 Закона о ПД в новой ред.).
С 1 сентября реестр операторов будет не только пополняться, но и очищаться: в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки ПД Роскомнадзор будет исключать из реестра сведения, ранее представлявшиеся оператором (ч. 4.1 ст. 22 Закона о ПД в новой ред.). Тем самым, реестр операторов будет отражать информацию об обработке ПД, более-менее действительную на текущий момент.
Кроме того, законодатель закрепил обязательность форм уведомлений о начале и прекращении обработки ПД, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором (ч. 8 ст. 22 Закона о ПД в новой ред.). Таким образом, соответствующие формы, приведенные в приложении к методическим рекомендациям, утв. приказом Роскомнадзора от 30 мая 2017 г. N 94, переходят из статуса рекомендуемых в статус обязательных, если ведомством не будут разработаны новые формы.
Работа по утверждению новых форм уже ведется. Если эти формы не будут приняты к 1 сентября, необходимо подать уведомления о намерении осуществлять обработку ПД (если ранее не уведомляли Роскомнадзор об обработке) или о внесении изменений в ранее представленные сведения (если уведомляли, но по старой редакции ст. 22 Закона о ПД) по старым формам, а при появлении новых подать недостающие сведения через форму уведомления о внесении изменений в ранее представленные сведения. Такие разъяснения дает и Роскомнадзор.
Вы можете поделиться этой новостью, нажав на значок мессенджера ниже: