1. Главная
  2. Статьи

Новые обязанности для операторов персональных данных и выписки из ЕГРН без фамилий собственников: принят новый закон

| статьи | печать
автор:
опубликовано:«ЭЖ-Юрист» №28 (1229) 2022

У компаний и предпринимателей, которые обрабатывают персональные данные, появятся новые обязанности. Придется информировать органы власти о компьютерных атаках на сайт, из-за которых произошла утечка персональных данных. При трансграничной передаче данных нужно будет отправлять в Роскомнадзор отдельное уведомление — о намерении осуществлять трансграничную передачу персональных данных. А в выписках из ЕГРН не будут указывать данные собственников. Подробнее об этих и других нововведениях читайте в этом материале.

Президент РФ подписал закон с поправками в сфере персональных данных (Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“», далее — Закон № 266-ФЗ). Он вступит в силу с 01.09.2022, за исключением некоторых положений, которые начнут действовать с 01.03.2023.

Экстерриториальность законодательства о персональных данных

Введен принцип экстерриториальности применения российского законодательства о персональных данных. Так, указано, что положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) применяются к обработке персональных данных граждан РФ, которой занимаются иностранные лица, на основании договора с российскими гражданами либо на основании согласия гражданина РФ на обработку его персональных данных (ч. 1.1 ст. 1 Закона № 152-ФЗ в новой редакции).

Обязанность сообщать об атаках

С 01.09.2022 компании и индивидуальные предприниматели, обрабатывающие персональные данные, будут обязаны:

1. Информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных:

  • в течение 24 часов — о про­изошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий инцидента, а также о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом;

  • в течение 72 часов — о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии) (ч. 3.1 ст. 21 Закона № 152-ФЗ в новой редакции).

2. Подключиться к системе ГосСОПКА, которую курирует ФСБ России. Это система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12 ст. 19 Закона № 152-ФЗ в новой редакции). Пока порядок подключения не определен.

Уведомление Роскомнадзора

Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за некоторым исключением (ч. 1 ст. 22 Закона № 152-ФЗ). Теперь же в ч. 2 ст. 22 Закона № 152-ФЗ указано, что нужно будет отправлять уведомление в Роскомнадзор, даже если оператор собирается обрабатывать персональные данные:

  • работников;

  • полученные в связи с заключением договора, даже если оператор использует их исключительно для исполнения договора;

  • относящиеся к членам (участникам) общественного объединения или религиозной организации;

  • разрешенные субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий;

  • включающие в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Обо всех этих случаях обработки персональных данных можно не уведомлять только до 01.09.2022.

Отказы клиентам из-за непредоставления персональных данных

С 01.09.2022 оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные или дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным (ч. 3 ст. 11 Закона № 152-ФЗ в новой редакции).

Срок выполнения запросов

Сократится срок, в течение которого оператор должен выполнить запрос субъекта персональных данных о получении информации в отношении обработки их персональных данных, а также запрос органов власти. Раньше на это было 30 календарных дней. Теперь операторы должны будут предоставлять такую информацию в течение 10 рабочих дней. Срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации (ч. 3, 4 ст. 14 Закона № 152-ФЗ в новой редакции).

Выписки из ЕГРН

Поправки о персональных данных затронули и положения о получении информации из ЕГРН. С 01.03.2023 в выписках из ЕГРН не будут указаны сведения о фамилии, имени, отчестве и дате рождения собственника.

Чтобы эти данные отображались в выписке, которую получают третьи лица, нужно, чтобы собственник подал в Росреестр заявление о возможности предоставления третьим лицам персональных данных. Росреестр внесет запись об этом в ЕГРН в течение трех рабочих дней с момен­та поступления заявления.

Без такой отметки выписку из ЕГРН с полными персональными данными смогут получить:

  • собственники;

  • супруги;

  • правообладатели земельного участка, являющегося смежным (при наличии в ЕГРН сведений о координатах характерных точек границ таких земельных участков);

  • собственники объекта недвижимости — в отношении гражданина, являющегося правообладателем земельного участка, на котором расположен такой объект (если в ЕГРН содержатся сведения о расположении объекта недвижимости на данном земельном участке);

  • некоторые другие лица, указанные в п. 6 ст. 36.3 Федерального закона от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости» в новой редакции.

Также выписку из ЕГРН можно будет получить через нотариуса при условии предоставления документов, подтверждающих заинтересованность заявителя. Например, это могут быть предварительный договор купли-продажи недвижимости, документы, подтверждающие наличие оснований для обращения взыскания на принадлежащий правообладателю на праве собственности объект недвижимости (ст. 85.1 Основ законодательства РФ о нотариате от 11.02.93 № 4462-I).

Комментарий эксперта

Про первоначальный законопроект

Финальная редакция закона претерпела изменения по сравнению с первоначально внесенной редакцией законопроекта. Из нее исключили очевидно неисполнимые положения (например, запрет обработки биометрии несовершеннолетних, обязанность предоставления в Роскомнадзор сведений о каждом случае трансграничной передачи персональных данных с указанием конкретного получателя таких данных), а также ошибки и противоречия (например, в части определения лица, осуществляющего обработку персональных данных, в части определения передачи данных).

Про трансграничную передачу

Вопросы трансграничной передачи урегулированы в п. 7 ст. 1 Закона № 266-ФЗ, который вступит в силу с 01.03.2023. До этой даты операторы, осуществляющие трансграничную передачу, обязаны направить в Роскомнадзор отдельное уведомление об осуществлении трансграничной передачи персональных данных, составленное по новым правилам.

Следует отметить, что если ранее операторы обязаны были подавать одно уведомление о намерении осуществлять обработку персональных данных, в котором указывали сведения в том числе о факте трансграничной передачи, то согласно вводимым изменениям операторы обязаны подавать два уведомления: одно — о намерении осуществлять обработку, второе — о намерении осуществлять трансграничную передачу персональных данных.

По сравнению с первоначально внесенным законопроектом закон ограничил перечень сведений, которые необходимо указать в уведомлении. В первоначальной редакции закона оператор обязан был указать контактные сведения лица, которому планируется передача персональных данных, а также сведения о мерах по защите передаваемых данных и условиях прекращения их обработки, которые обязуется принимать получающая сторона. Другими словами, изначально предполагалось, что перед каждым случаем трансграничной передачи новому лицу оператор обязан уведомлять Роскомнадзор, а также согласовывать принимаемые меры защиты. По результатам обсуждения законопроекта рассматриваемые обременительные условия не вошли в итоговую редакцию закона.

Согласно закону оператор должен указать в уведомлении вполне привычные сведения, которые оператор обязан был определять при осуществлении трансграничной передачи и до внесения изменений в закон: сведения об операторе, сведения об уведомлении о намерении осуществлять обработку персональных данных, сведения о лице, ответственном за организацию обработки персональных данных, правовое основание и цель трансграничной передачи и обработки переданных данных, категории и перечень персональных данных, категории субъектов, данные которых передаются, перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных.

Новой является обязанность указания сведений о дате проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими и юридическими лицами, которым планируется трансграничная передача персональных данных, соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Из системного толкования Закона № 152-ФЗ в прежней редакции следовало, что оператору рекомендуется проверять меры защиты персональных данных, которые будет применять получающая сторона, заключать соглашения о трансграничной передаче. Теперь же данная рекомендация получила статус обязанности оператора. Данная мера является позитивным нововведением, поскольку обяжет операторов ответственно относиться к выбору контрагентов, контролировать процесс передачи персональных данных третьим лицам, что должно привести к уменьшению утечек персональных данных и их недобросовестному использованию.

Предполагается, что для проведения рассматриваемой оценки оператор обязан получить от лица, которому передаются персональные данные:

  • сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

  • информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится получающая сторона (если данные передаются в страну, не обеспечивающую адекватную защиту персональных данных);

  • сведения о получающей стороне (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

По сути, сложность представляет только предоставление сведений о правовом регулировании. Данная мера является достаточно спорной, учитывая, что она требует от сторон трансграничной передачи проведения определенной юридической работы (и, соответственно, затрат на юристов). Вместе с тем такая мера является продолжением общего требования о защите передаваемых персональных данных. Если страна не присоединилась к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, если страна не сотрудничает с Россией по вопросам передачи персональных данных (не включена в список стран Роскомнадзора), то лица, действующие на территории данной страны, обоснованно могут нести связанные с этим неблагоприятные последствия — в частности, предоставлять сведения о правовом регулировании и применяемых мерах по обеспечению конфиденциальности и безопасности персональных данных при их обработке.

Следует отметить, что в отличие от первоначальной редакции законопроекта операторы не обязаны предоставлять вышеуказанную триаду сведений в Роскомнадзор по общему правилу. Данные сведения должны быть предоставлены только в том случае, если Роскомнадзор направит оператору соответствующий запрос.

В целом новые правила трансграничной передачи можно оценить положительно как дополнительную защиту прав субъектов персональных данных, а также как новую веху в формировании у операторов ответственного отношения к обработке и передаче персональных данных.