Персональные данные
July 21, 2022

Чек-лист по подзаконникам к 152-ФЗ в послереформенной редакции

Для надлежащего выполнения операторами персональных данных некоторых новых требований Федерального закона «О персональных данных», обусловленных принятием Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», Правительство Российской Федерации, Роскомнадзор и ФСБ России обязаны подготовить ряд подзаконных нормативных правовых актов (ожидалось, что к 01.09.2022, но, увы).


Правительство Российской Федерации:

+ Порядок принятия решения о запрещении или об ограничении трансграничной передачи персональных данных (ч. 9 и ч. 13 ст. 12 152-ФЗ):

Постановление Правительства Российской Федерации от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан» (вступает в силу с 01.03.2023).

Постановление Правительства Российской Федерации от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении» (вступает в силу с 01.03.2023).

+ Порядок информирования операторов о принятом решении относительно запрещении или об ограничении трансграничной передачи персональных данных (ч. 13 ст. 12 152-ФЗ) — см. предыдущий абзац.

+ Случаи, при которых операторы, осуществляющие трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, могут не уведомлять Роскомнадзор (ч. 15 ст. 12 152-ФЗ) — Постановление Правительства Российской Федерации от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 — 6, 8 — 11 статьи 12 Федерального закона „О персональных данных“» (вступает в силу с 01.03.2023).


Роскомнадзор:

+ Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (ч. 2 ст. 12 152-ФЗ) — Роскомнадзор и ранее ежегодно публиковал такой перечень.

На момент подготовки данного материала актуальным является Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Роскомнадзора от 15.03.2013 № 274 (в ред. приказа Роскомнадзора от 14.09.2021 № 183), но с 01.03.2023 вступает в силу приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»..
А также сайте Роскомнадзора реализована электронная форма подачи уведомления о трансграничной передаче персональных данных.

+ Требования по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» — приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона „О персональных данных“» (вступает в силу с 01.03.2023).

+ Порядок подтверждения уничтожения персональных данных в целях устранения нарушений законодательства, допущенных при обработке персональных данных (ч. 7 ст. 21 152-ФЗ) — приказ  Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (вступает в силу с 01.03.2023).

+ Форма уведомления о намерении осуществлять обработку персональных данных (ч. 8 ст. 22 152-ФЗ) — приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных» (далее - приказ РКН № 180).

+ Форма уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (ч. 8 ст. 22 152-ФЗ) — приказ РКН от 28.10.2022 № 180.

+ Форма уведомления о прекращении обработки персональных данных (ч. 8 ст. 22 152-ФЗ) — приказ РКН от 28.10.2022 № 180.

Кстати, на сайте Роскомнадзора реализован сервис подачи таких уведомлений в электронной форме, а также приведены примеры их заполнения.

+ Порядок и условия взаимодействия с операторами в рамках ведения реестра учета инцидентов в области персональных данных (ч. 10 ст. 23 152-ФЗ) — приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных» (вступает в силу с 01.03.2023).

Скорее всего, какой-либо бюрократией обрастут и:

— Процесс уведомления Роскомнадзора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав субъектов персональных данных (ч. 3.1 ст. 21 152-ФЗ).

Кстати, на сайте Роскомнадзора реализована электронная форма подачи уведомления об утечке персональных данных.

— Порядок ведения реестра учета инцидентов в области персональных данных (ч. 10 ст. 23 152-ФЗ).


ФСБ России:

+ Порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ч. 12 ст. 19 152-ФЗ) — приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» (вступает в силу с 01.03.2023).

+ Порядок информирования ФСБ России операторами о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст. 19 152-ФЗ) — приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» (вступает в силу с 01.03.2023).

Схема взаимодействия и информирования будет соответствовать тому, что было озвучено на SOC-Forum 2022:

+/- Порядок взаимного обмена информации о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, между ФСБ России и Роскомнадзором (ч. 14 ст. 19 152-ФЗ и ч. 11 ст. 23 152-ФЗ) — представлен проект соответствующего совместного приказа Роскомнадзора и ФСБ России.

Это общее поручение ФСБ России и Роскомнадзору, но есть предположение, что инициативу в разработке будет держать именно ФСБ России.

Вернуться к началу заметки.

Вернуться в основной Telegram-канал.