Журнал "Information Security/ Информационная безопасность" #4, 2022

6 • ПРАВО И НОРМАТИВЫ Изменения в ФЗ о персональных данных Федеральный закон от 14.07.2022 г. № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации, и призна- нии утратившей силу части четырнадца- той статьи 30 Федерального закона "О банках и банковской деятельности" 1 (далее – ФЗ № 266) официально опуб- ликован 14 июля 2022 г. ФЗ № 266 вносит изменения в Феде- ральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее – ФЗ № 152). Ряд изменений вступил в силу 1 сентября 2022 г., остальные вступят в силу с 1 марта 2023 г. Отметим некоторые требования, всту- пившие в силу с 1 сентября: l Операторам необходимо определиться с политикой в отношении обработки персональных данных (далее – ПДн) или иных локальных актов – имеются в виду категории и перечень обрабатываемых ПДн для каждой цели обработки. l Политика обработки ПДн должна быть опубликована на всех страницах сайтов в сети "Интернет", принадлежащих опе- ратору, с помощью которых осуществ- ляется сбор ПДн. l Скорректированы сроки ответа опера- тора на обращения субъектов Пдн: вме- сто 30 рабочих дней ответить необходимо в течение 10 рабочих дней. При наличии мотивированного обоснования продления срока его можно увеличить на 5 дней. l Дополнены требования к содержанию поручения оператора к лицу, осуществ- ляющему обработку ПДн по поручению оператора. l Сокращен перечень случаев, при кото- рых уведомлять Роскомнадзор об обра- ботке ПДн не требовалось. Теперь опе- раторы должны уведомлять Роскомнад- зор о начале или осуществлении любой обработки Пдн, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обра- батывает данные исключительно без средств автоматизации. l В уведомлении о намерении осу- ществлять обработку ПДн изменяются требования к составу сведений, а именно указание для каждой цели обработки Пдн, категории ПДн, категории субъек- тов, правовое основание обработки ПДн, перечень действий с ПДн, способы обра- ботки Пдн. Проекты новых форм уведомлений о намерении осуществлять обработку ПДн, о внесении изменений в ранее пред- ставленные сведения, о прекращении обработки Пдн 2 находились на публич- ном обсуждении с 19 августа по 15 сен- тября 2022 г. По этому пункту изменений на официальном портале Роскомнадзо- ром были опубликованы комментарии 3 . До утверждения новых форм оператор вправе заполнить форму уведомления об обработке ПДн на портале персо- нальных данных Роскомнадзора по ста- рым правилам. После вступления в силу приказа Роскомнадзора, устанавливаю- щего новую форму уведомления, опера- тор может направить уведомление о внесении изменений в ранее представ- ленные сведения. Регулятор отмечает, что предельный срок уведомления Роскомнадзора об обработке ПДн не определен. Таким образом, 1 сентября 2022 г. не является крайним сроком подачи уведомления об обработке ПДн. Оператор обязан в порядке, опреде- ленном ФСБ России, обеспечивать взаи- модействие с ГосСОПКА. На момент написания статьи документов, регла- ментирующих такое взаимодействие, со стороны ФСБ России в общедоступных источниках опубликовано не было. В случае установления факта непра- вомерной или случайной передачи (пре- доставления, распространения, доступа) ПДн, повлекшей нарушение прав субъ- ектов ПДн, оператор обязан с момента выявления такого инцидента уведомить об этом Роскомнадзор: течение 24 часов – уведомить об инциденте, в течение 72 часов – уведомить о результатах внут- реннего расследования по инциденту и о виновных лицах (при наличии). Для опе- раторов на сайте Роскомнадзора уже доступны специальные электронные формы подачи уведомлений 4 . Обзор изменений в законодательстве обзоре изменений законодательства по информационной без- опасности за июль поговорим о том, какие изменения в про- цессах обработки персональных данных ждут операторов с 1 сентября текущего года и с 1 марта следующего года, а также об особенностях эксплуатации значимых объектов КИИ, электронной подписи, ЕБС и изменениях в требованиях по защите информации для кредитных организаций, УК РФ и КоАП РФ. Рассмотрим постановление Правительства РФ, выпущенное в целях исполнения требований Указа Президента РФ от 1 мая 2022 г. № 250. В Анастасия Заведенская, независимый эксперт по информационной безопасности Июль-2022 1 http://publication.pravo.gov.ru/Document/View/0001202207140080 2 https://regulation.gov.ru/projects#npa=130665 3 https://pd.rkn.gov.ru/operators-registry/notification/ 4 https://pd.rkn.gov.ru/incidents/form/