Нормативные документы-9. 9 сентябрь'2022e normobr ru

68
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Документы по теме
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации от 15 октября 2021 года № 17541
Требования к проверке простой электронной подписи, которой
в соответствии с частями 5 и 23 статьи 14.1 Федерального закона
«Об информации, информационных технологиях и о защите информации»
подписаны согласия на обработку персональных данных и биометрических
персональных данных, при хранении указанных согласий
1. Настоящий документ устанавливает требования к проверке простой электронной подписи, ключ которой получен в соответ- ствии с Правилами использования простой электронной подписи при оказании государ- ственных и муниципальных услуг, утверж- денными постановлением Правительства
Российской Федерации от 25 января 2013 г.
№ 33 «Об использовании простой электрон- ной подписи при оказании государствен- ных и муниципальных услуг» (далее – Пра- вила использования простой электронной подписи), которой в соответствии с частя- ми 5 и 23 статьи 14.1 Федерального закона
«Об информации, информационных техно- логиях и о защите информации» подписаны согласия на обработку персональных данных и биометрических персональных данных, указанных в пунктах 1 и 2 части 1 и час- ти 23 статьи 14.1 указанного Федерального закона, при хранении указанных согласий
(далее соответственно – проверка подлинно- сти простой электронной подписи, согласия на обработку персональных данных).
2. Проверка подлинности простой электрон- ной подписи осуществляется в соответствии с пунктом 23 Правил использования простой электронной подписи посредством сервиса фе- деральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обе- спечивающей информационно-технологи- ческое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее соответствен- но – сервис, единая система идентификации и аутентификации).
3. С использованием сервиса обеспечива- ется проверка подлинности простой элек- тронной подписи, ключ которой хранится не менее 5 лет в единой системе идентифи- кации и аутентификации, также в случае замены в соответствии с Правилами ис- пользования простой электронной подписи лицом, подписавшим согласие на обработ- ку персональных данных, ключа простой электронной подписи после подписания этого согласия.
4. Проверка подлинности простой электрон- ной подписи осуществляется в отношении согласий на обработку персональных данных, предоставленных оператору единой системы идентификации <...>

№9 сентябрь 2022 года
69
О новых правилах обработки
персональных данных, которые
вступают в силу с 1 сентября
Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”»
Принят Государственной Думой 06.07.2022, одобрен Советом Федерации 08.07.2022
И З В Л ЕЧ ЕН И Е И З ДО К У М Е Н ТА
Статья 1
Внести в Федеральный закон от 27 ию- ля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Россий- ской Федерации, 2006, № 31, ст. 3451; 2010,
№ 27, ст. 3407; 2011, № 31, ст. 4701; 2013,
№ 14, ст. 1651; № 51, ст. 6683; 2014, № 23, ст. 2927;
№ 30, ст. 4243; 2016, № 27, ст. 4164; 2017,
№ 9, ст. 1276; № 27, ст. 3945; № 31, ст. 4772; 2018,
№ 1, ст. 82; 2019, № 52, ст. 7798; 2020,
№ 17, ст. 2701; № 50, ст. 8074; 2021, № 1, ст. 54, 58;
№ 24, ст. 4188; № 27, ст. 5159) следующие из- менения:
1) статью 1 дополнить частью 1.1 следую- щего содержания:
«1.1. Положения настоящего Федерального закона применяются к обработке персональ- ных данных граждан Российской Федерации, осуществляемой иностранными юридически- ми лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской
Федерации, иных соглашений между ино- странными юридическими лицами, иностран- ными физическими лицами и гражданами
Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.»;
2) статью 4 дополнить частью 3.1 следую- щего содержания:
«3.1. Нормативные правовые акты, прини- маемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осущест- влением трансграничной передачи персо- нальных данных, обработкой специальных категорий персональных данных, биометри- ческих персональных данных, персональных данных несовершеннолетних, предоставлени- ем, распространением персональных данных,

70
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Документы по теме
полученных в результате обезличивания.
Срок указанного согласования не может пре- вышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных.»;
3) в статье 6:
а) в пункте 5 части 1 слова «являться выго- доприобретателем или поручителем» заменить словами «являться выгодоприобретателем или поручителем. Заключаемый с субъектом персо- нальных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавлива- ющие случаи обработки персональных данных несовершеннолетних, если иное не предусмотре- но законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъ- екта персональных данных»;
б) часть 3 изложить в следующей редакции:
«3. Оператор вправе поручить обработку персональных данных другому лицу с со- гласия субъекта персональных данных, если иное не предусмотрено Федеральным за- коном, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или му- ниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные на- стоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональ- ными данными, которые будут совершаться лицом, осуществляющим обработку персо- нальных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональ- ных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего
Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную инфор- мацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в со- ответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабаты- ваемых персональных данных в соответствии со статьей 19 настоящего Федерального за- кона, в том числе требование об уведомлении оператора о случаях, предусмотренных ча- стью 3.1 статьи 21 настоящего Федерального закона.»;
в) дополнить частью 6 следующего содер- жания:
«6. В случае, если оператор поручает об- работку персональных данных иностран- ному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за дей- ствия указанных лиц несет оператор и лицо,

№9 сентябрь 2022 года
71
осуществляющее обработку персональных данных по поручению оператора.»;
4) в части 1 статьи 9 слова «конкретным, информированным и сознательным» заменить словами «конкретным, предметным, инфор- мированным, сознательным и однозначным»;
5) часть 15 статьи 10.1 изложить в следу- ющей редакции:
«15. Требования настоящей статьи не при- меняются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.»;
6) статью 11 дополнить частью 3 следую- щего содержания:
«3. Предоставление биометрических пер- сональных данных не может быть обязатель- ным, за исключением случаев, предусмотрен- ных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в слу- чае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с Федеральным законом получение опера- тором согласия на обработку персональных данных не является обязательным.»;
7) статью 12 изложить в следующей ре- дакции:
«Статья 12. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных осуществляется в соответствии с на- стоящим Федеральным законом и междуна- родными договорами Российской Федерации.
2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспе- чивающих адекватную защиту прав субъ- ектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персо- нальных данных, включаются государства, являющиеся сторонами Конвенции Совета
Европы о защите физических лиц при ав- томатизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Со- вета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положе- ниям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфи- денциальности и безопасности персональных данных при их обработке.
3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить упол- номоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведом- ление направляется отдельно от уведомле- ния о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона.
4. Уведомление, предусмотренное ча- стью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о на- мерении осуществлять трансграничную пере-
Полный текст документа смотрите в Системе Образование vip.1obraz.ru

72
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ
Документы по теме
дачу персональных данных должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведом- ления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 на- стоящего Федерального закона;
2) наименование (фамилия, имя, отчество) лица, ответственного за организацию об- работки персональных данных, номера кон- тактных телефонов, почтовые адреса и адреса электронной почты;
3) правовое основание и цель трансгранич- ной передачи персональных данных и даль- нейшей обработки переданных персональных данных;
4) категории и перечень передаваемых персональных данных;
5) категории субъектов персональных дан- ных, персональные данные которых пере- даются;
6) перечень иностранных государств, на территории которых планируется транс- граничная передача персональных данных;
7) дата проведения оператором оценки со- блюдения органами власти иностранных госу- дарств, иностранными физическими лицами, иностранными юридическими лицами, кото- рым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопас- ности персональных данных при их обработке.
5. Оператор до подачи уведомления, пред- усмотренного частью 3 настоящей статьи, обязан получить от органов власти иностран- ного государства, иностранных физических лиц, иностранных юридических лиц, кото- рым планируется трансграничная передача персональных данных, следующие сведения:
1) сведения о принимаемых органами вла- сти иностранного государства, иностранными физическими лицами, иностранными юри- дическими лицами, которым планируется трансграничная передача персональных дан- ных, мерах по защите передаваемых персо- нальных данных и об условиях прекращения их обработки;
2) информация о правовом регулировании в области персональных данных иностран- ного государства, под юрисдикцией которого находятся органы власти иностранного го- сударства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача пер- сональных данных (в случае, если предпо- лагается осуществление трансграничной передачи персональных данных органам вла- сти иностранного государства, иностранным физическим лицам, иностранным юридиче- ским лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не вклю- ченного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3) сведения об органах власти иностран- ного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная пере- дача персональных данных (наименование либо фамилия, имя и отчество, а также но- мера контактных телефонов, почтовые адреса и адреса электронной почты).

№9 сентябрь 2022 года
73 6. В целях оценки достоверности сведений, содержащихся в уведомлении оператора о сво- ем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные пунктами 1–3 части 5 на- стоящей статьи, предоставляются оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в те- чение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивиро- ванного уведомления с указанием причин продления срока предоставления запраши- ваемой информации.
7. Трансграничная передача персональ- ных данных может быть запрещена или ограничена в целях защиты основ консти- туционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защи- ты экономических и финансовых интересов
Российской Федерации, обеспечения дипло- матическими и международно-правовыми средствами защиты прав, свобод и интере- сов граждан Российской Федерации, суве- ренитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по за- щите прав субъектов персональных данных решения, предусмотренного частью 12 на- стоящей статьи.
8. Решение о запрещении или об ограниче- нии трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по за- щите прав субъектов персональных данных по результатам рассмотрения уведомления, предусмотренного частью 3 настоящей статьи.
9. Решение, указанное в части 8 настоящей статьи, принимается уполномоченным орга- ном по защите прав субъектов персональных данных в течение десяти рабочих дней с даты поступления уведомления, предусмотрен- ного частью 3 настоящей статьи, в порядке, установленном Правительством Российской
Федерации. В случае направления уполно- моченным органом по защите прав субъектов персональных данных запроса в соответствии с частью 6 настоящей статьи рассмотрение такого уведомления приостанавливается до даты предоставления оператором запро- шенной информации.
10. После направления уведомления, ука- занного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную пере- дачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвен- ции Совета Европы о защите физических лиц при автоматизированной обработке пер- сональных данных или включенных в пред- усмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи.
11. После направления уведомления, пред- усмотренного частью 3 настоящей статьи, оператор до истечения сроков, указанных в части 9 настоящей статьи, не вправе осу- ществлять трансграничную передачу персо- нальных данных на территории указанных

74
НОРМАТИВНЫЕ ДОКУМЕНТЫ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
РАБ ОТА С ПЕР СОНА ЛЬНЫМИ Д АННЫМИ В НОВ ОМ У ЧЕБНОМ ГОДУ