Одним из ключевых нововведений Федерального закона от 14.07.2022 № 266-ФЗ, который обозначил реформу в сфере персональных данных в Российской Федерации, явилось закрепление обязанности работы операторов с инцидентами, связанными с персональными данными (обозначение, кстати, условное). Законодатель выделил два типа событий, являющихся инцидентами: 1. Компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных (Компьютерный инцидент с персональными данными). 2. Факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов персональных данных (Инцидент с персональными данными).
С 1 сентября 2022 года начинают действовать законодательные нововведения, затрагивающих процессы организации обработки и защиты персональных данных. Речь, разумеется, идет о нашумевших изменениях в Федеральных закон «О персональных данных» и в Федеральный закон «Об информации, информационных технологиях и о защите информации». На момент публикации этой заметки у операторов есть еще месяц переходного периода, чтобы подготовиться к надлежащему обеспечению соблюдения законодательства Российской Федерации.
Для надлежащего выполнения операторами персональных данных некоторых новых требований Федерального закона «О персональных данных», обусловленных принятием Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», Правительство Российской Федерации, Роскомнадзор и ФСБ России обязаны подготовить ряд подзаконных нормативных правовых актов (ожидалось, что к 01.09.2022, но, увы).
В связи с принятием изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности») значительно расширяется круг случаев, когда оператор персональных данных обязан по собственной инициативе взаимодействовать с некоторыми органами государственной власти.
Понимание того, какая информация является персональными данными, до сих пор будоражит умы людей, которые по собственной инициативе или в силу должностных и профессиональных обязанностей сталкиваются с организацией обработки, непосредственно обработкой или защитой подобной информации. Довольно часто вспыхивают жаркие дискуссии и споры на профильных общедоступных площадках в сети Интернет, в ходе которых вновь и вновь поднимается один и тот же вопрос, что является персональными данными.
Столько лет прошло с принятия в Российской Федерации Федерального закона «О персональных данных», однако из года в год не снижается актуальность вопроса, касающегося причисления фотографического изображения лица человека к биометрическим персональным данным.