Нормативные документы-9. 9 сентябрь'2022e normobr ru
Скачать 3.74 Mb.
|
Утвержден постановлением Правительства от 15.10.2021 № 1754 И З В Л ЕЧ ЕН И Е И З ДО К У М Е Н ТА В соответствии с частями 5 и 23 статьи 14.1 Фе- дерального закона «Об информации, инфор- мационных технологиях и о защите информа- ции» Правительство Российской Федерации постановляет: 1. Утвердить прилагаемые требования к про- верке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Фе- дерального закона «Об информации, информа- ционных технологиях и о защите информации» подписаны согласия на обработку персональ- ных данных и биометрических персональных данных, при хранении указанных согласий. 2. Министерству цифрового развития, связи и массовых коммуникаций Российской Федера- ции до 1 апреля 2022 г. обеспечить доработку и техническое функционирование сервиса федеральной государственной информацион- ной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечи- вающей информационно-технологическое вза- имодействие информационных систем, исполь- зуемых для предоставления государственных и муниципальных услуг в электронной форме», посредством которого осуществляется проверка подлинности простой электронной подписи в соответствии с Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, ут- вержденными постановлением Правительства Российской Федерации от 25 января 2013 г. № 33 «Об использовании простой электрон- ной подписи при оказании государственных и муниципальных услуг», в части обеспечения таким сервисом ведения истории хранения и использования физическими лицами ключей простой электронной подписи в течение по- следних 5 лет с указанием сроков их действия, для целей реализации пункта 3 требований, утвержденных настоящим постановлением. Председатель Правительства Российской Федерации М. Мишустин 68 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Документы по теме УТВЕРЖДЕНЫ постановлением Правительства Российской Федерации от 15 октября 2021 года № 17541 Требования к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона «Об информации, информационных технологиях и о защите информации» подписаны согласия на обработку персональных данных и биометрических персональных данных, при хранении указанных согласий 1. Настоящий документ устанавливает требования к проверке простой электронной подписи, ключ которой получен в соответ- ствии с Правилами использования простой электронной подписи при оказании государ- ственных и муниципальных услуг, утверж- денными постановлением Правительства Российской Федерации от 25 января 2013 г. № 33 «Об использовании простой электрон- ной подписи при оказании государствен- ных и муниципальных услуг» (далее – Пра- вила использования простой электронной подписи), которой в соответствии с частя- ми 5 и 23 статьи 14.1 Федерального закона «Об информации, информационных техно- логиях и о защите информации» подписаны согласия на обработку персональных данных и биометрических персональных данных, указанных в пунктах 1 и 2 части 1 и час- ти 23 статьи 14.1 указанного Федерального закона, при хранении указанных согласий (далее соответственно – проверка подлинно- сти простой электронной подписи, согласия на обработку персональных данных). 2. Проверка подлинности простой электрон- ной подписи осуществляется в соответствии с пунктом 23 Правил использования простой электронной подписи посредством сервиса фе- деральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обе- спечивающей информационно-технологи- ческое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее соответствен- но – сервис, единая система идентификации и аутентификации). 3. С использованием сервиса обеспечива- ется проверка подлинности простой элек- тронной подписи, ключ которой хранится не менее 5 лет в единой системе идентифи- кации и аутентификации, также в случае замены в соответствии с Правилами ис- пользования простой электронной подписи лицом, подписавшим согласие на обработ- ку персональных данных, ключа простой электронной подписи после подписания этого согласия. 4. Проверка подлинности простой электрон- ной подписи осуществляется в отношении согласий на обработку персональных данных, предоставленных оператору единой системы идентификации <...> №9 сентябрь 2022 года 69 О новых правилах обработки персональных данных, которые вступают в силу с 1 сентября Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”» Принят Государственной Думой 06.07.2022, одобрен Советом Федерации 08.07.2022 И З В Л ЕЧ ЕН И Е И З ДО К У М Е Н ТА Статья 1 Внести в Федеральный закон от 27 ию- ля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Россий- ской Федерации, 2006, № 31, ст. 3451; 2010, № 27, ст. 3407; 2011, № 31, ст. 4701; 2013, № 14, ст. 1651; № 51, ст. 6683; 2014, № 23, ст. 2927; № 30, ст. 4243; 2016, № 27, ст. 4164; 2017, № 9, ст. 1276; № 27, ст. 3945; № 31, ст. 4772; 2018, № 1, ст. 82; 2019, № 52, ст. 7798; 2020, № 17, ст. 2701; № 50, ст. 8074; 2021, № 1, ст. 54, 58; № 24, ст. 4188; № 27, ст. 5159) следующие из- менения: 1) статью 1 дополнить частью 1.1 следую- щего содержания: «1.1. Положения настоящего Федерального закона применяются к обработке персональ- ных данных граждан Российской Федерации, осуществляемой иностранными юридически- ми лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между ино- странными юридическими лицами, иностран- ными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.»; 2) статью 4 дополнить частью 3.1 следую- щего содержания: «3.1. Нормативные правовые акты, прини- маемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осущест- влением трансграничной передачи персо- нальных данных, обработкой специальных категорий персональных данных, биометри- ческих персональных данных, персональных данных несовершеннолетних, предоставлени- ем, распространением персональных данных, 70 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Документы по теме полученных в результате обезличивания. Срок указанного согласования не может пре- вышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных.»; 3) в статье 6: а) в пункте 5 части 1 слова «являться выго- доприобретателем или поручителем» заменить словами «являться выгодоприобретателем или поручителем. Заключаемый с субъектом персо- нальных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавлива- ющие случаи обработки персональных данных несовершеннолетних, если иное не предусмотре- но законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъ- екта персональных данных»; б) часть 3 изложить в следующей редакции: «3. Оператор вправе поручить обработку персональных данных другому лицу с со- гласия субъекта персональных данных, если иное не предусмотрено Федеральным за- коном, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или му- ниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные на- стоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональ- ными данными, которые будут совершаться лицом, осуществляющим обработку персо- нальных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональ- ных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную инфор- мацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в со- ответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабаты- ваемых персональных данных в соответствии со статьей 19 настоящего Федерального за- кона, в том числе требование об уведомлении оператора о случаях, предусмотренных ча- стью 3.1 статьи 21 настоящего Федерального закона.»; в) дополнить частью 6 следующего содер- жания: «6. В случае, если оператор поручает об- работку персональных данных иностран- ному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за дей- ствия указанных лиц несет оператор и лицо, №9 сентябрь 2022 года 71 осуществляющее обработку персональных данных по поручению оператора.»; 4) в части 1 статьи 9 слова «конкретным, информированным и сознательным» заменить словами «конкретным, предметным, инфор- мированным, сознательным и однозначным»; 5) часть 15 статьи 10.1 изложить в следу- ющей редакции: «15. Требования настоящей статьи не при- меняются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.»; 6) статью 11 дополнить частью 3 следую- щего содержания: «3. Предоставление биометрических пер- сональных данных не может быть обязатель- ным, за исключением случаев, предусмотрен- ных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в слу- чае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с Федеральным законом получение опера- тором согласия на обработку персональных данных не является обязательным.»; 7) статью 12 изложить в следующей ре- дакции: «Статья 12. Трансграничная передача персональных данных 1. Трансграничная передача персональных данных осуществляется в соответствии с на- стоящим Федеральным законом и междуна- родными договорами Российской Федерации. 2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспе- чивающих адекватную защиту прав субъ- ектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персо- нальных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при ав- томатизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Со- вета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положе- ниям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфи- денциальности и безопасности персональных данных при их обработке. 3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить упол- номоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведом- ление направляется отдельно от уведомле- ния о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона. 4. Уведомление, предусмотренное ча- стью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о на- мерении осуществлять трансграничную пере- Полный текст документа смотрите в Системе Образование vip.1obraz.ru 72 НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ Документы по теме дачу персональных данных должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведом- ления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 на- стоящего Федерального закона; 2) наименование (фамилия, имя, отчество) лица, ответственного за организацию об- работки персональных данных, номера кон- тактных телефонов, почтовые адреса и адреса электронной почты; 3) правовое основание и цель трансгранич- ной передачи персональных данных и даль- нейшей обработки переданных персональных данных; 4) категории и перечень передаваемых персональных данных; 5) категории субъектов персональных дан- ных, персональные данные которых пере- даются; 6) перечень иностранных государств, на территории которых планируется транс- граничная передача персональных данных; 7) дата проведения оператором оценки со- блюдения органами власти иностранных госу- дарств, иностранными физическими лицами, иностранными юридическими лицами, кото- рым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопас- ности персональных данных при их обработке. 5. Оператор до подачи уведомления, пред- усмотренного частью 3 настоящей статьи, обязан получить от органов власти иностран- ного государства, иностранных физических лиц, иностранных юридических лиц, кото- рым планируется трансграничная передача персональных данных, следующие сведения: 1) сведения о принимаемых органами вла- сти иностранного государства, иностранными физическими лицами, иностранными юри- дическими лицами, которым планируется трансграничная передача персональных дан- ных, мерах по защите передаваемых персо- нальных данных и об условиях прекращения их обработки; 2) информация о правовом регулировании в области персональных данных иностран- ного государства, под юрисдикцией которого находятся органы власти иностранного го- сударства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача пер- сональных данных (в случае, если предпо- лагается осуществление трансграничной передачи персональных данных органам вла- сти иностранного государства, иностранным физическим лицам, иностранным юридиче- ским лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не вклю- ченного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных); 3) сведения об органах власти иностран- ного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная пере- дача персональных данных (наименование либо фамилия, имя и отчество, а также но- мера контактных телефонов, почтовые адреса и адреса электронной почты). №9 сентябрь 2022 года 73 6. В целях оценки достоверности сведений, содержащихся в уведомлении оператора о сво- ем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные пунктами 1–3 части 5 на- стоящей статьи, предоставляются оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в те- чение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивиро- ванного уведомления с указанием причин продления срока предоставления запраши- ваемой информации. 7. Трансграничная передача персональ- ных данных может быть запрещена или ограничена в целях защиты основ консти- туционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защи- ты экономических и финансовых интересов Российской Федерации, обеспечения дипло- матическими и международно-правовыми средствами защиты прав, свобод и интере- сов граждан Российской Федерации, суве- ренитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по за- щите прав субъектов персональных данных решения, предусмотренного частью 12 на- стоящей статьи. 8. Решение о запрещении или об ограниче- нии трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по за- щите прав субъектов персональных данных по результатам рассмотрения уведомления, предусмотренного частью 3 настоящей статьи. 9. Решение, указанное в части 8 настоящей статьи, принимается уполномоченным орга- ном по защите прав субъектов персональных данных в течение десяти рабочих дней с даты поступления уведомления, предусмотрен- ного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации. В случае направления уполно- моченным органом по защите прав субъектов персональных данных запроса в соответствии с частью 6 настоящей статьи рассмотрение такого уведомления приостанавливается до даты предоставления оператором запро- шенной информации. 10. После направления уведомления, ука- занного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную пере- дачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвен- ции Совета Европы о защите физических лиц при автоматизированной обработке пер- сональных данных или включенных в пред- усмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи. 11. После направления уведомления, пред- усмотренного частью 3 настоящей статьи, оператор до истечения сроков, указанных в части 9 настоящей статьи, не вправе осу- ществлять трансграничную передачу персо- нальных данных на территории указанных |