Причины изменений
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
СПРАВКА
На начало 2022 г. по данным Роскомнадзора более 2500 операторов персональных данных осуществляли трансграничную передачу персданных российских граждан в недружественные страны, где не обеспечивается их должная защита.
Именно поэтому потребовались поправки в Федеральный закон от 27.07.2006 № 152 “О персональных данных”, направленные на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в данной сфере.
Описанные ниже изменения действуют с 1 сентября 2022 года, кроме отдельных положений, которые применяют с 1 марта 2023 года.
Также см. Когда можно использовать биометрические персональные данные из единой системы.
Закон № 266-ФЗ установил, что российский магазин приложений должен быть обязательно предустановлен на отдельных видах технически сложных устройств (смартфоны и т. п.).
Новая обязанность операторов персданных
Они должны:
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Сокращение срока ответа на запрос
Втрое – с 30 до 10 дней – сокращены сроки исполнения операторами запросов органов власти (Роскомнадзор) и граждан по вопросам, связанным с незаконной обработкой персональных данных.
Фактор передачи биометрии
Установлен прямой запрет операторам отказывать гражданам в оказании услуг при отказе человека предоставить свои персональные данные (в т. ч. биометрические), если такое предоставление по закону необязательно.
На операторов также возложили обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок.
Одновременно введено ограничение на обработку биометрических персональных данных несовершеннолетних.
Передача персданных за границу
Усовершенствован порядок трансграничной передачи персональных данных.
Уточнено, что при трансграничной передаче определяющим является не организационно-правовая форма получателя персданных, а его нахождение на территории иностранного государства.
Операторов обязали информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных. В исключительных случаях, при наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может быть ограничена по решению уполномоченного госоргана.
Новый принцип применения норм о персданных
Введена экстерриториальность применения российского законодательства о персональных данных.
В частности, это означает возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Персданные из ЕГРН
Внесены изменения в Федеральный закон от 13.07.2015 № 218-ФЗ “О государственной регистрации недвижимости”.
Установлено, что персональные данные, содержащиеся в Едином государственном реестре недвижимости (ЕГРН), могут быть предоставлены третьим лицам только с согласия их субъекта – физического лица. Для этого в ЕГРН вносят соответствующую запись:
- на основании заявления физлица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости;
- при внесении соответствующей отметки в заявление о госрегистрации права.
Без такой записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться:
- наличие договора, сторона которого – заявитель и правообладатель;
- причинение ущерба личности или имуществу заявителя;
- наличие оснований для предъявления заявителем вещного иска к правообладателю и др.
В этой связи корреспондирующие изменения также внесены в Основы законодательства Российской Федерации о нотариате от 11.02.1993 № 4462-1.
За это установлена плата:
- 300 руб. – нотариальный тариф;
- 150 руб. – плата за услуги правового и технического характера (не взимается при совершении нотариального действия удаленно).
Эти изменения в части ЕГРН устраняют правовую коллизию, когда операторы персданных, с одной стороны, обязаны не раскрывать третьим лицам персональные данные без согласия их правообладателя, но, с другой, выдача персданных из ЕГРН возможна без каких-либо ограничений.