31.08.2022
Сохранить / Распечатать
C 1 сентября 2022 г вступили в силу изменения, внесенные в Федеральный закон от 27.07.2006 №
Теперь права российских граждан на неприкосновенность частной жизни будут лучше защищены. Требования к операторам при обработке персональных данных ужесточаются.
Новеллы закона «О персональных данных» направлены на сокращение случаев нарушений в отношении субъектов персональных данных. Вместе с тем, масштабность поправок, внесенных в закон «О персональных данных», потребует дополнительно издания чиновниками большого количества подзаконных актов.
Предлагаем вашему вниманию краткий обзор документа с комментариями экспертов Бетерра.
I. Принцип экстерриториальности действия закона о персональных данных
C 1 сентября 2022 г. Роскомнадзор потребует от иностранных компаний соблюдения законодательства по защите персональных данных при сборе, записи, хранении и извлечении информации о субъектах таких данных.
Поправками введены дополнительные критерии, при наличии которых к действиям иностранной организации будет применяться закон «О персональных данных» — если обработка персональных данных ведется на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ, либо на основании согласия гражданина РФ.
Напомним, что ранее закон «О персональных данных» не содержал положений, которые бы регламентировали сферу его действия как по территории, так и кругу лиц. Применение закона к иностранным юридическим лицам, осуществляющим обработку персональных данных граждан РФ, не было конкретизировано.
II. Уточнение требований к согласию субъекта на обработку персональных данных
Согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным, в соответствии с требованиями части 1 статьи 9 закона «О персональных данных». Новый закон дополняет эту норму требованиями о предметности и однозначности такого согласия*.
Однако, к моменту выхода нашего обзора официальных разъяснений, что подразумевается под «предметностью и однозначностью» согласия на обработку персональных данных, пока нет.
Высока вероятность, что новые требования к форме согласия приведут к дополнительным основаниям для споров. Поэтому операторам и обработчикам необходимо актуализировать существующие формы согласия на обработку персональных данных и внести соответствующие правки в свои Положения об обработке персональных данных.
* «однозначностью согласия» — наличие однозначного волеизъявления с помощью заявления или четкого утвердительного действия в соответствии с Регламентом Европарламента и Совета Евросоюза 2016/679 от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных" (GDPR — General Data Protection Regulation)
III. Уточнение требований к содержанию локальных документов оператора по обработке персональных данных
Пункт 2 части 1 статьи 18.1 закона «О персональных данных» предусматривает обязанность оператора по изданию документов, которые определяют политику в отношении обработки персональных данных, документов компании по вопросам обработки персональных данных, а также локальных актов, касающихся процедур по предотвращению и выявлению нарушений законодательства РФ и по устранению их последствий.
Согласно изменениям, такие документы должны определять категории субъектов персональных данных, способы обработки, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований для каждой цели обработки категории и перечень обрабатываемых персональных данных. Теперь рекомендации Роскомнадзора к содержанию политики оператора в отношении обработки персональных данных становятся законодательно закрепленными.
IV. Дополнительные обязанности лиц, осуществляющих обработку персональных данных по поручению оператора
Обработчики персональных данных по поручению оператора теперь также будут обязаны обеспечивать выполнения условий закона «О персональных данных».
В частности, обработчикам необходимо будет соблюдать требования о локализации баз данных на территории РФ и другие меры, предусмотренные статьей 18.1 закона «О персональных данных». В течение срока действия поручения оператора или до начала такой обработки оператор вправе запросить у обработчика документы и иную информацию, подтверждающую соблюдение указанных обязанностей.
Лицо, осуществляющее обработку персональных данных по поручению, должно уведомлять оператора об инцидентах, влекущих нарушение прав субъектов.
По общему правилу, если оператор поручает обработку персональных данных другому лицу, то ответственность перед субъектом персональных данных за действия обработчика несет оператор. Теперь же иностранные граждане или юридические лица, осуществляющие обработку персональных данных граждан РФ по поручению оператора также будут нести ответственность перед субъектами наряду с оператором.
Операторам и обработчикам мы рекомендуем в договоре о поручении на обработку персональных данных закрепить механизмы распределения ответственности. В поручении оператора на обработку персональных данных необходимо предусмотреть:
- перечень персональных данных;
- обязанность обработчика соблюдать требования к локализации;
- обязанность введения технических и организационных мер, а также мер безопасности (статьи 18.1. и 19 закона «О персональных данных»).
Поправками на обработчика возлагаются обязанности, аналогичные тем, которые закреплены в GDPR. Это сопрягает практики регламента GDPR с нормами закона «О персональных данных на законодательном уровне, а именно:
- предоставление по запросу оператора персональных данных определенных документов и информации, которые подтверждают соблюдение закона о персональных данных. Для этого обработчик должен фиксировать все действия по обработке персональных данных и внедрить организационно-технические меры защиты персональных данных (статьи 30 (2), 32 GDPR);
- соблюдение конфиденциальности при обработке персональных данных (статья 28 (b) GDPR);
- информирование оператора в случаях неправомерной или случайной передачи персональных данных (статья 33 (2) GDPR).
V. Сокращение сроков исполнения запросов Роскомнадзора
До 1 сентября этого года операторы имели возможность исполнять запросы Роскомнадзора или субъекта персональных данных в течение 30 дней с даты их получения.
Теперь срок для исполнения таких запросов сокращается до 10 рабочих дней. Этот срок может быть продлен при наличии мотивированного уведомления оператора, но не более чем на 5 рабочих дней. Важно, что форма ответа на запрос должна совпадать с формой самого запроса.
VI. Сокращение перечня случаев, когда оператор вправе не направлять уведомление об обработке персональных данных в Роскомнадзор
Статьей 22 закона «О персональных данных» предусмотрено, что оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением ряда случаев. С 1 сентября операторы будут иметь право не направлять уведомление в Роскомнадзор только в случаях, если:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- персональные данные обрабатываются в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
При несоблюдении правил об уведомлении Роскомнадзора, операторы будут нести ответственность по статье 19.7 Кодекса Российской Федерации об административных правонарушениях.
С 1 сентября появляется новое требование сообщать в Роскомнадзор о любых изменениях в сведениях по обработке персональных данных не позднее 15 числа следующего месяца.
В связи с этим рекомендуем компаниям регулярно отслеживать процессы обработки персональных данных.
VII. Порядок трансграничной передачи персональных данных
(будет действовать с 1 марта 2023 г.)
В законе о персональных данных сохраняется разграничение иностранных государств на страны, где существует адекватная защита прав субъектов, и на тех, которые не могут обеспечить такую защиту. С 1 марта следующего года вводятся уведомительный и разрешительный режимы для трансграничной передачи персональных данных.
Оператор будет обязан уведомить Роскомнадзор о планируемой трансграничной передачи персональных данных. Это уведомление будет рассматриваться Роскомнадзором в течение 10 рабочих дней. Направить такое уведомление оператор сможет только после подачи уведомления об осуществлении обработки персональных данных, предусмотренного статьей 22 закона «О персональных данных». Роскомнадзор может запросить у оператора дополнительную информацию для оценки достоверности сведений, указанных в уведомлении.
В поправках статьи 12 закона «О персональных данных» предусматривается два режима трансграничной передачи данных — разрешительный и уведомительный:
Уведомительный режим действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов. После направления уведомления оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств, до того момента, когда Роскомнадзор запретит или ограничит такую передачу;
Разрешительный режим действует при передаче персональных данных в государства, которые не обеспечивают адекватную защиту прав субъектов. После того, как оператор направил уведомление, до истечения срока его рассмотрения Роскомнадзором не разрешается осуществлять трансграничную передачу персональных данных на территории указанных государств, за исключением случаев, когда такая передача необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. То есть, трансграничная передача персональных данных в указанные государства станет возможной без получения письменного согласия субъекта или наличия иных оснований, предусмотренных действующей редакцией части 4 статьи 12 закона «О персональных данных», но при условии получения разрешения Роскомнадзора на такую передачу.
Если раньше цели, в отношении которых трансграничная передача персональных данных может быть запрещена или ограничена, были обоснованы защитой основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечением обороны страны и безопасности государства, то с 1 марта 2023 г. к этому перечню добавится защита экономических и финансовых интересов России, обеспечение дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности нашей страны и других ее интересов на международной арене.
В случае, если Роскомнадзор решит запретить или ограничить трансграничную передачу персональных данных, оператор будет обязан обеспечить уничтожение органом власти иностранного государства, иностранным гражданином, иностранной организацией ранее переданные им персональные данные.
Операторы, которые уже сейчас передают персональные данные через границу, будут обязаны не позднее 1 марта следующего года направить в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных.
Уже понятно, что указанные ограничения могут значительно усложнить процесс трансграничной передачи данных или, в определенных случаях, сделать ее невозможной.
Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в настоящее время обновляется Роскомнадзором.
VIII. Дополнительная обязанность при допущении утечек персональных данных
В скором времени операторы будут обязаны обеспечить взаимодействие со специальной Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая необходимость информирования о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, их распространение или доступ.
Если такой инцидент произойдет, оператор будет обязан с момента выявления уведомить Роскомнадзор в течение 24 часов об этом, предполагаемых причинах и вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по данному инциденту. В течение 72 часов с момента выявления такой ситуации необходимо будет сообщить о результатах внутреннего расследования, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента, при наличии такой информации.
С 1 марта 2023 г. Роскомнадзор будет вести специализированный реестр таких инцидентов.
Основание: Федеральный закон от 14.07.2022 N