Новое в законодательстве о персональных данных (часть 2)

Продолжаем рассказывать об изменениях в сфере персональных данных.

• По вопросу особенностей обработки персональных данных, разрешенных субъектом персональных данных для распространения. Федеральный закон №152-ФЗ устанавливает определенные обязанности Оператора в данном случае. И ранее, из под этих дополнительных обязанностей были выведены органы власти (если обработка персональных данных велась ими). Теперь, к этому перечню исключений добавлены подведомственные таким госорганам организации.
• Что касается биометрических персональных данных. Есть правило, что биометрические персональные данные могут обрабатываться только при наличии согласия субъекта персональных данных. Существуют и исключения (когда согласие не требуется) – они связаны с обработкой таких персональных данных, например, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации и т. п. С 1 сентября 2022 года четко прописано, что Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. Наверное были прецеденты, когда такое согласие кто-то требовал ультимативно в случаях, не предусмотренных законом.
• Что касается права субъекта персональных данных на доступ к его персональным данным. У субъекта персональных данных было и есть право требовать от Оператора определенной законом информации, относительно действий Оператора с персональными данными субъекта. С 1 сентября обязанности оператора в данном случае ужесточены. Например, появилась норма о том, что Оператор должен предоставить субъекту персональных данных информацию в течение 10 дней (можно продлить этот срок еще на 5 дней, но – мотивированно). Еще появилось правило, что Оператор обязан предоставить информацию субъекту персональных данных в той форма о какой просит субъект либо если в обращении субъекта нет конкретики – то ответ Оператора должен быть в той форме, в которой было само обращение субъекта.
• Конкретизированы обязанности Оператора при сборе персональных данных, например, Оператор обязан разъяснить субъекту персональных данных не только юридические последствия отказа субъекта предоставить свои персональные данные, но и последствия согласия субъекта на обработку персональных данных.
• По мерам, направленным на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом №152-ФЗ. Эти меры перечислены в статье 18.1 федерального закона №152-ФЗ более конкретно и жестко. Например, ранее была формулировка «к таким мерам могутотноситься». Сейчас слова «могут» не стало, т. е. меры перечислены в указанной статье. Они должны быть выполнены. Все. Без вариантов. Также в закон теперь отражено правило, что Оператор обязан выложить свою политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных и в сети Интернет (именно на своем сайте), если он осуществляет сбор персональных данных с использованием информационно-телекоммуникационных сетей.
• В отношении мер по обеспечению безопасности персональных данных при их обработке.Установлено, Оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Эта информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.