Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Персональные данные россиян: изменения с сентября 2022 г.
Персональные данные россиян и их защита остаются одной из самых обсуждаемых тем в госорганах и обществе. В 2022 г. был принят ряд нормативных правовых актов (НПА), устанавливающих правила, как обрабатывать персональные данные. Мы рассмотрим изменения, затрагивающие персональные данные (ПДн), вступившие в силу с 1 сентября.
Федеральным законом №145-ФЗ была введена ответственность по статье 14.8 Кодекса об административных нарушениях РФ за нарушение, связанное с расторжением договора с пользователем, который отказался предоставлять свои ПДн. Штраф для юрлиц и ИП – от 30 до 50 тысяч рублей.
Согласно подписанному в июле Федеральному закону №266-ФЗ значительно сокращено число случаев, когда организация, обрабатывающая данные граждан РФ, может не уведомлять Роскомнадзор (РКН) о начале такой обработки и обязана регистрироваться в Едином реестре операторов персональных данных. Теперь таких случаев осталось всего три (ранее их было девять):
- если обработка данных проводится без применения средств автоматизации;
- если ПДн вносят в ГИС, предназначенную для обеспечения безопасности и общественного порядка;
- если обработка ПДн ведется в целях обеспечения транспортной безопасности по соответствующим законам.
Нужно отметить, что теперь все работодатели обязаны зарегистрироваться в Едином реестре операторов. Кроме того, законом вводятся понятия «предметности и однозначности» согласия субъекта на обработку его ПДн.
Если субъект ПДн запросил сведения о том, как организация обрабатывает его данные, то она обязана дать ответ в рамках 10 раб. дней (ранее организации предоставлялось 30 дней на ответ). Так же 10 рабочих дней с момента требования субъектом есть у оператора персональных данных на прекращение обработки или (если данные обрабатываются подрядчиком) обеспечение прекращения подобной обработки.
Закон включает пункт о невозможности включения в договор с физлицом пункта о том, что бездействие человека расценивается как разрешение на подписание соглашения, где он становится выгодоприобретателем или поручителем. Также закон вводит ответственность иностранной организации, обрабатывающей ПДн россиян перед непосредственно субъектами ПДн.
НПА в области персональных данных несовершеннолетних теперь необходимо согласовывать с Роскомнадзором (РКН). Срок согласования – не более 30 дней с даты поступления запроса.
Положения договора, для исполнения которого требуются персональные данные несовершеннолетнего, не может устанавливать случаи обработки таких данных.
Важным нововведением является наложение обязательств на операторов ПДн по подключению к информсистеме ГосСОПКА и передаче информации об инцидентах информационной безопасности, приведших к утечкам хранящихся данных. Уведомить ответственный госорган (Роскомнадзор) о произошедшей утечке необходимо в срок 24 часа после фиксации инцидента. 72 часа законом дается на предоставление РКН информации о результатах расследования инцидента. Ответить на запрос этой федеральной службы на тему обработки ПДн организация обязуется в срок 10 раб. дней.
При отказе человеком предоставить биометрию по ФЗ-266 организация не имеет права отказать ему в обслуживании.
По принятому в июле Федеральному закону №325-ФЗ с первого сентября биометрические данные из локальных, используемых в организациях, ИТ-систем должны быть переданы в Единую биометрическую систему. Законом описан порядок загрузки данных: организации обязаны уведомить сдавших биометрию о передаче их данных в ЕБС и убедиться в получении уведомления. Гражданам предоставлено право отказаться от возможности хранения их данных в единой системе и потребовать информацию удалить.
В соответствии с июньским постановлением Правительства РФ № 1089 с 1 сентября 2022 г. Единая биометрическая система предоставляет информацию, которая появилась при обработке биометрии россиян, в государственные информсистемы, владельцами или операторами которых являются госорганы, получившие разрешение на владение этими ГИС или работу в качестве операторов этих систем.