С 1 сентября 2022 положения Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ (далее – Закон № 152-ФЗ) применимы к обработке персональных данных (далее — ПД) российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договоров с российскими гражданами либо на основании согласия последних на обработку их ПД (ч. 1.1 ст. 1 Закона № 152-ФЗ в новой ред.).
Новая редакция закона обязывает оператора (в соответствии со ст. Закона № 152-ФЗ-ператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными) ПД обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Цель такого новшества — заставить операторов информировать об инцидентах, которые повлекли неправомерную передачу ПД. То есть новая редакция 152-ФЗ предполагает усиление ответственности операторов обработки ПД за утечку данных.
Если инцидент с утечкой данных произойдет, оператор будет обязан:
— уведомить о случившемся Роскомнадзор в течение 24 часов;
— провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
— представить сведения о лицах, действия которых стали причиной инцидента (при наличии).
Существенным образом изменено регулирование уведомления Роскомнадзора о начале обработки ПД:
Перечень случаев, когда обработка возможна без такого уведомления, урезан до обработки ПД:
— включенных в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
— обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства,
— в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации (ч. 2 ст. 22 Закона № 152-ФЗ в новой ред.).
Последний случай сформулирован в законе таким образом, что речь не идет о возможности неуведомления Роскомнадзора об обработке какого-то объема ПД без использования средств автоматизации (сравните новую и старую формулировку п. 8 ч. 2) — по всей видимости, с 1 сентября обработку можно осуществлять без уведомления Роскомнадзора только тогда, когда оператор вообще осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации, т.е. абсолютно все ПД им обрабатываются таким способом.
Предельный срок уведомления об обработке ПД не определен, поэтому 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных. Однако учитывая риск привлечения оператора, обрабатывающего ПД без уведомления Роскомнадзора, к административной ответственности по ст. 19.7 КоАП РФ целесообразно направить уведомление в кратчайшие сроки.