Новое в законодательстве о персональных данных (часть 1)
Новое в законодательстве по ПОД/ФТ (Приказ Росфинмониторинга от 28.12.2022 № 354 и Приказ Росфинмониторинга от 28.12.2022 № 354)
13.01.2023Новое в законодательстве о персональных данных (часть 2)
18.01.2023
Вопросы, связанные с персональными данными, их обработкой и защитой, регулируются федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» (это базовый нормативный акт по данной теме).
1 сентября 2022 года частично вступил в силу федеральный закон от 14 июля 2022 г. №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
Что изменилось:
- Положения федерального закона №152-ФЗ с 1 сентября 2022 года применяются и в случаях, когда персональные данные граждан Российской Федерации обрабатывают иностранные юридические или физические лица;
- Установлено правило, что нормативные правовые актыпо отдельным вопросам, касающимся обработки персональных данных, принимаемые государственными органами, Банком России, органами местного самоуправления в пределах своих полномочий, подлежат обязательному согласованию с Роскомнадзором в случаях, когда принимаемые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания.
Это нововведение нельзя не признать полезным, так как в вопросах, связанных с персональными данными, именно Роскомнадзор обладает наибольшей квалификацией.
- Вотношении случаев, когда допускается обработка персональных данных – появилось правило, что заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
- Федеральный закон №152-ФЗ допускал случаи, когда Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. С 1 сентября для этого «другого лица» действуют более жесткие условия при обработке им персональных данных по поручению Оператора. Кроме того, введено правило, что если Оператор по какой-то причине поручит обработку персональных данных иностранному лицу, то нести ответственность перед субъектом персональных данных они будут оба. Получается ужесточение ответственности самого Оператора. Для сравнения – если Оператор поручит обработку персональных данных не иностранному (надо понимать – российскому) лицу, то отвечать перед субъектом персональных данных будет Оператор (даже если виновато иное лицо), а это иное лицо в порядке регресса будет отвечать пере Оператором. То есть Оператор потом отыграется.
- Изменилась трактовка согласия субъекта персональных данных на обработку его персональных данных. Раньше это согласие должно было быть конкретным, информированным и сознательным. Теперь — конкретным, предметным, информированным, сознательным и однозначным. Выглядит как попытка лучше защитить права субъектов персональных данных. Ну, как сумели.