Положения Закона о персональных данных применяются к обработке персональных данных граждан РФ, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ либо на основании согласия гражданина РФ на обработку его персональных данных.

Установлено, что заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Сокращены сроки исполнения операторами запросов по вопросам, связанным с обработкой персональных данных.
В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные или дать согласие на обработку персональных данных, если получение оператором согласия на обработку персональных данных не является обязательным.
Субъект персональных данных имеет право получать информацию о способах исполнения оператором обязанностей, установленных Законом о персональных данных.
Оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан уведомить Роскомнадзор о произошедшем инциденте и результатах внутреннего расследования выявленного инцидента.
Операторы, которые ранее осуществляли трансграничную передачу персональных данных и продолжают осуществлять такую передачу, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомления об осуществлении трансграничной передачи персональных данных.

Документ:

Федеральный закон от 14.07.2022 N 266-ФЗ

«О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»