Об изменениях в законодательстве о персональных данных, порядке получения выписки из ЕГРН

Информируем о Федеральном законе от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности" (далее - Закон № 266-ФЗ).

Закон № 266-ФЗ опубликован на Официальном интернет-портале правовой информации http://pravo.gov.ru 14.07.2022. В соответствии со ст. 6 Закона № 266-ФЗ документ вступает в силу с 01.09.2022, за исключением отдельных положений.

Законом № 266-ФЗ существенно сокращено число случаев, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора.

С 01.09.2022 направлять в Роскомнадзор уведомление об обработке персональных данных необходимо, в частности, при обработке персональных данных:

1. в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных;
3. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Напомним, что под оператором персональных данных понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. А под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

На основании изложенного, на наш взгляд, с 01.09.2022 возникает обязанность направить в Роскомнадзор уведомление о начале обработки персональных данных. По нашему мнению, если персональные данные были получены организацией до вступления в силу Закона № 266-ФЗ, но используются после 01.09.2022, то также необходимо направить уведомление, так как юридическое лицо будет обрабатывать персональные данные после 01.09.2022. Обращаем Ваше внимание, что уведомление, по общему правилу, направляется однократно и в нем указывается, в частности, цель обработки персональных данных; дата начала обработки персональных данных; срок или условие прекращения обработки персональных данных. Срока для представления уведомления нет, следовательно оно должно быть направлено непосредственно перед началом обработки персональных данных.

С целью выполнения требований Закона № 266-ФЗ с 01.09.2022 организация, на наш взгляд, должна выполнять следующие обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных):

Рассмотрим некоторые из обязанностей подробнее.

Форма уведомления о намерении осуществлять обработку персональных данных размещена на официальной сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/ . Форма уведомления также утверждена Приказом Роскомнадзора от 30.05.2017 № 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения". Обращаем Ваше внимание, что форма пока не актуализирована под изменения, внесенные Законом № 266-ФЗ (с 01.09.2022 будут исключены графы: категории персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных; перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных и будет добавлена графа фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах).

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Согласие субъекта персональных данных разрабатывается в организации самостоятельно с учетом требований ст. 9 Закона о персональных данных и Приказа Роскомнадзора от 24.02.2021 № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".

Законом № 266-ФЗ не внесены существенные изменения в части, касающейся согласия субъекта персональных данных на обработку персональных данных. Уточнено, что согласие должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным.

Напомним, что в соответствии с п. 5 ч. 1 ст. 6 Закона о персональных данных обработка персональных данных без согласия возможна в случаях, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. При этом оговоримся, что отсутствие необходимости получать согласие от контрагента на обработку не исключает обязанности направить уведомление в Роскомнадзор о намерении обрабатывать персональные данные контрагентов (а также соблюдения иных обязанностей, предусмотренных Законом о персональных данных).

Роскомнадзор разместил Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" https://rkn.gov.ru/personal-data/p908/.

Напомним, что согласно ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Определение правовых, организационных и технических мер по обеспечению безопасности персональных данных, а также порядок проведения внутреннего контроля и оценки риска осуществляется на основании внутренних актов оператора персональных данных.

Дополнительно предлагаем ознакомиться с проверочным листом, применяемым Роскомнадзором при осуществлении контроля (надзора) за соблюдением Закона о персональных данных https://rkn.gov.ru/docs/Prikaz_Roskomnadzora_ot_24.12.2021_N_253.pdf .

Дополнительно отметим, что если обработку персональных данных для однократного пропуска субъекта персональных данных на территорию осуществляет сторонняя организация, то выполнять требования Закона о персональных данных обязана эта организация. При этом если такая сторонняя организация передает Вашей организации персональные данные, то в согласии субъекта персональных данных это должно быть предусмотрено отдельно. Либо возможна обработка персональных данных по поручению оператора (т.е. Ваша организация дает сторонней организации поручение на обработку персональных данных, что предусмотрено ч. 3-5 ст. 6 Закона о персональных данных). В таком случае ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Рассмотрим остальные правки Закона № 266-ФЗ.

Установлено, что предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, определенных законом. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.

Установлено, что заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Законом № 266-ФЗ также уточнены положения, касающиеся трансграничной передачи персональных данных. Правки вступают в силу с 01.03.2023. В частности установлено, что оператор обязан направить отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных.

Согласно Закону № 266-ФЗ сведения, запрошенные субъектом персональных данных предоставляются оператором в течение 10 рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Такой же срок установлен для ответов на запросы Роскомнадзора.

Также установлена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. В данном случае, насколько нам известно, речь идет о Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), созданной ФСБ России по Указу Президента Российской Федерации от 22.12.2017 г. № 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации". Вместе с тем, в открытых информационных источниках пока отсутствуют подзаконные акты, которые бы регулировали порядок исполнения указанной обязанности операторов, введенной Законом № 266-ФЗ.

Напомним, что неуведомление Роскомнадзора о начале обработки персональных данных влечет ответственность по ст. 19.7 КоАП РФ, которой предусмотрен штраф для должностных лиц - от 300 до 500 рублей; для юридических лиц - от 3'000 до 5'000 рублей.

Ответственность на нарушение законодательства о персональных данных предусмотрена ст. 13.11 КоАП РФ, в частности за нарушение правил обработки персональных данных; неисполнение обязанностей при взаимодействии с гражданином - субъектом персональных данных; невыполнение требований по защите персональных данных; неисполнение обязанностей при взаимодействии с Роскомнадзором. Размер штрафов (в части, касающейся Закона № 266-ФЗ это ч. 1 - ч. 6 ст. 13.11 КоАП РФ) в зависимости от конкретных нарушений, а также установления факта повторности варьируется от 20'000 до 500'000 рублей.

Помимо этого, Законом № 266-ФЗ с 01.03.2023 вносятся изменения в порядок получения выписок ЕГРН.

Устанавливается, что сведения, содержащиеся в ЕГРН, являются общедоступными в пределах, установленных законом. С 01.03.2023 персональные данные правообладателя объекта недвижимости или лица, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости, относятся к сведениям, доступным только с согласия соответственно правообладателя объекта недвижимости или лица, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости.

Указанное, на наш взгляд, означает, что с 01.03.2023 в выписке ЕГРН в графе правообладатель по общему правилу не будут указаны персональные данные (фамилия, имя, отчество).

Выписка ЕГРН, содержащая полные сведения может быть получена у нотариуса по заявлению правообладателя, или лица, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости. Размер нотариального тарифа составляет 300 рублей.

Кроме того, исключается запрет для кредитных организация требовать выписки ЕГРН для осуществления банковских операций и других сделок. Также исключается право кредитных организаций запрашивать в упрощенном порядке выписки ЕГРН.

Также установлено, что заявление правообладателя объекта недвижимости или лица, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости, о предоставлении сведений, содержащихся в ЕГРН, может быть подано ими посредством единого портала в связи с поступлением такому правообладателю или такому лицу из единого портала запроса кредитной организации или страховой организации о необходимости передачи этим организациям указанных сведений для страхования принадлежащего такому правообладателю или такому лицу объекта недвижимости или для его приобретения третьими лицами с использованием кредитных средств, предоставляемых такой кредитной организацией. Полученная на основании такого заявления выписка из ЕГРН направляется указанным организациям посредством единого портала.

Насколько нам известно в настоящее время единый портал такого функционала не содержит.

Исп.  Шумилина М.