C 01.09.2022 вступили в силу отдельные положения Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“ <…>» (далее — Закон № 266-ФЗ). В материале рассмотрим новеллы законодательства, касающиеся порядка уведомления Роскомнадзора об обработке персональных данных и случаев их обработки, а также требований в части получения согласия на обработку.
Согласие на обработку персональных данных (далее — ПД) теперь должно быть не только конкретным, информированным, сознательным, но и предметным и однозначным. Это значит, что придется чаще получать согласие субъекта на обработку его данных.
Не допускается включать в договор условие о том, что бездействие физического лица подразумевает разрешение на заключение договора, в котором он будет являться выгодоприобретателем или поручителем (подп. «а» п. 3 ст. 1 Закона № 266-ФЗ). Более того, теперь оператор не вправе отказать в обслуживании лиц, если они отказываются предоставить биометрические данные или иным образом дать согласие на обработку ПД, за некоторыми исключениями. Пункт 2 ст. 11 Федерального закона «О персональных данных» (далее — Закон) содержит исчерпывающий перечень оснований, когда обработка биометрических данных обязательна и возможна без согласия лиц. В иных случаях с 01.09.2022 за отказ в заключении договора из-за непредоставления ПД установлена административная ответственность (ч. 7 ст. 14.8 КоАП РФ).
Значительно сокращен перечень случаев, когда не нужно уведомлять Роскомнадзор об обработке ПД. Теперь он включает всего три случая (ранее было 9):
-
при обработке ПД в целях защиты безопасности государства и общественного порядка;
-
при обработке ПД исключительно без использования средств автоматизации;
-
при обработке ПД в соответствии с законодательством РФ о транспортной безопасности.
Во всех остальных случаях оператор обязан уведомить Роскомнадзор.
Более того, теперь операторы должны уведомить орган о трансграничной передаче персональных данных. Если ранее об этом можно было сообщить в уведомительном порядке, указав страну контрагента, то сейчас закон обязывает направлять самостоятельные уведомления о трансграничной передаче, в которых в числе прочего необходимо указать:
-
основание и цель трансграничной передачи ПД;
-
перечень передаваемых данных;
-
контакты иностранного лица, которое будет осуществлять обработку ПД;
-
сведения о мерах защиты ПД иностранным государством.
Иными словами, оператору, по сути, необходимо знать правовое регулирование иностранного государства в области ПД, а также сведения о предпринимаемых мерах иностранными органами власти по их сохранению.
Более того, уведомление о трансграничной передаче может рассматриваться до 10 дней, на период которых оператор фактически должен приостановить отношения с иностранным контрагентом (п. 2 ст. 12 Закона в редакции Закона № 266-ФЗ).
Обращаем внимание, что уведомление о трансграничной передаче операторы должны подать до 01.03.2023.
Однако остается открытым вопрос о том, стоит ли согласовывать каждый случай трансграничной передачи ПД или достаточно единоразово уведомить об этом Роскомнадзор. Соответствующие разъяснения пока отсутствуют, в связи с чем операторам целесообразно продолжать отслеживать соответствующие изменения правового регулирования.