5 июля в третьем чтении одобрен проект Федерального закона "О внесении изменений в Федеральный закон "О персональных данных" (далее – Закон). Изменения затрагивают работу операторов по обработке персональных данных (далее – операторы), а также их отношения с субъектами персональных данных. Закон наделил органы местного самоуправления и Банк России правом издавать нормативные акты в сфере обработки персональных данных. Нововведением Закона станет распространение правил обработки персональных данных на информационно-коммуникационные сети (в частности, Интернет).
Требования к операторам при обработке персональных данных
Закон определяет, что операторы обязаны принимать меры, которые обеспечат выполнение обязанностей по сбору, хранению и обработке персональных данных. Закон содержит открытый перечень таких мер, включающий издание необходимых актов, учреждение специальных должностей, осуществление внутреннего контроля и аудита и др. Оператор сам решает, какие меры ему следует принять исходя из имеющихся технических и кадровых ресурсов.
Некоторые меры оператор обязан осуществить независимо от уровня своих возможностей.
Во-первых, он должен обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. К предоставлению доступа к такому документу Закон установил единственное требование: если данные собираются в информационно-телекоммуникационной сети, то документ должен быть опубликован в той же сети.
Во-вторых, оператор, являющийся юрлицом, обязан установить должность сотрудника, отвечающего за организацию обработки персональных данных. Этот сотрудник обязан проводить внутренний контроль за соблюдением законодательства о персональных данных и организовывать работу с обращениями субъектов персональных данных.
Законом регламентированы вопросы взаимоотношений операторов с лицами, которых оператор привлекает для обработки персональных данных. Такие лица действуют на основании договора либо акта государственного или муниципального органа. Договор или акт должен содержать данные об операциях с персональными данными, о целях и сроках обработки, а также иные сведения, определенные Законом. Привлекаемые лица не обязаны получать согласие субъекта персональных данных на обработку персональных данных.
Требования к защите персональных данных
Закон установил, что требования к защите персональных данных могут различаться по характеру этих данных и способам их обработки. Правительство РФ должно определить уровни защищенности персональных данных в зависимости от угроз безопасности данных. Меры, которые оператор будет принимать, чтобы обеспечить необходимый уровень защиты, будет устанавливать ФСТЭК России.
Помимо этого, иные федеральные органы исполнительной власти, Банк России, органы госвласти субъектов РФ, а также органы государственных внебюджетных фондов смогут определять угрозы безопасности в зависимости от сферы деятельности.
Но не только органы публичной власти вправе делать это. Закон позволяет ассоциациям, союзам и иным объединениям операторов самостоятельно определять угрозы безопасности в различных сферах деятельности. Те же объединения будут устанавливать и дополнительные требования к защите персональных данных, обязательные для членов объединения.
Отношения операторов с субъектами персональных данных
Закон более детально, по сравнению с действующими нормами, регулирует взаимоотношения между оператором и субъектом персональных данных.
Ужесточились требования к получению согласия на обработку персональных данных. Согласие должно быть выражено в любой форме, позволяющей подтвердить факт его получения, за исключением случаев, когда в соответствии с федеральным законом оно требуется в письменном виде или в форме электронного документа. Как установил Закон, согласие должно быть конкретным, информированным и сознательным.
Изменилась процедура, позволяющая субъекту персональных данных получить доступ к таким данным. Для доступа к персональным данным субъект должен указать сведения, подтверждающие участие в отношениях с оператором (номер договора, дата заключения договора и т.п.).
Срок предоставления информации о персональных данных будет увеличен с 10 рабочих дней до 30 календарных. Столько же дней отводится для направления мотивированного отказа в предоставлении персональных данных.
Если субъект персональных данных получил сведения о своих персональных данных, то повторно ознакомиться с ними он сможет только через 30 дней после направления первоначального запроса. Сокращение срока возможно, если сведения были предоставлены не в полном объеме. В этом случае нужно направить повторный запрос с указанием причин его направления.
По запросу субъекта персональных данных оператор обязан будет передавать больше информации по сравнению с действующими нормами. Во-первых, обязательно должны указываться сведения об операторе (наименование, место нахождения). Во-вторых, по запросу будут передаваться сами данные, а не их перечень.
Законом подробно прописаны сроки внесения изменений и исправлений в персональные данные субъекта персональных данных, а также сроки уничтожения незаконно полученных персональных данных по запросу субъекта. Детально урегулирована процедура проверки правомерности обработки персональных данных.
Персональные данные в Интернете
Закон установил, что в сферу действия Федерального закона от 26.07.2006 N152-ФЗ "О персональных данных" будет попадать обработка персональных данных в информационно-телекоммуникационных сетях. Наиболее распространенной информационно-телекоммуникационной сетью является Интернет. Однако из текста Закона не вполне очевидно, как будут регулироваться отношения по сбору и обработке персональных данных в Интернете.
Неясно, как будут регулироваться отношения по регистрации пользователей в социальных сетях, на форумах и иных сайтах, где пользователь сообщает какие-либо сведения о себе. Причем круг таких сведений может быть очень широким, поскольку к персональным данным, в соответствии с Законом, относится любая информация, позволяющая индивидуализировать человека.
Чтобы на законных основаниях собирать и обрабатывать персональную информацию, лицу необходимо уведомить ФСТЭК России о начале обработки таких данных. После этого ФСТЭК России включит данное лицо в реестр операторов. Потребуется ли включение в реестр владельцев различных интернет-ресурсов, в Законе не уточняется.
С проблемой применения Закона к отношениям в Интернете связан еще и вопрос трансграничной передачи персональных данных. Если владелец сайта заключает договор на использование иностранных серверов в качестве площадки для своего сайта, то любая информация, хранящаяся на этих серверах, автоматически подпадает под понятие трансграничной передачи информации. Трансграничная передача информации накладывает на оператора обязанности по выяснению того, как защищаются персональные данные в государстве, на территорию которого они передаются.
На момент подготовки материла Закон поступил на рассмотрение Совета Федерации.
Документы:
Законопроект N282499-5 "О внесении изменений в Федеральный закон "О персональных данных"
| 
