1 сентября 2022 года
вступили в силу поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О
персональных данных», которые вызвали большое волнение как среди операторов
персональных данных, так и среди иных организаций, которые не желают стать
невольными нарушителями закона.
Новые поправки
направлены на ужесточение режима защиты персональных данных граждан. Только за
последние три месяца произошла утечка не менее 140 баз российских организаций, которые содержали
огромное количество персональных данных физических лиц. Из наиболее громких
ситуаций можно упомянуть утечки баз из клиентов банка Сбербанка (60 млн записей),
языковой школы SkyEng (5 млн записей), мобильного оператора «Билайн» (2 млн
записей), системы «РЖД Бонус» (1,36 млн записей), сервисов доставки продуктов
«Яндекс.Еда» (700 тыс. записей) и Delivery Club (521,5 тыс. записей).
Каждая утечка баз данных
грозит финансовой и личной безопасности граждан, поскольку число
злоумышленников, которые готовы заплатить за приобретение таких сведений
постоянно растет, особенно в настоящее напряженное время. Как говорится, спрос
рождает предложение.
Так, важной задачей
государства является принуждение организаций, которые обрабатывают персональные
данные граждан, к усилению мер защиты данной информации и к активному
взаимодействию с Роскомнадзором, который уполномочен, в том числе, осуществлять
контроль в сфере соблюдения закона по защите персональных данных.
Основные
изменения
Поправки в
законодательство коснулись нескольких важных аспектов защиты персональных
данных.
Во-первых, по новым
правилам, согласия на обработку персональных данных должны быть не только
конкретными, информированными и сознательными, но также дополнительно
предметными и однозначными. Предметность и однозначность означает, что в документе должна быть установлена конкретная
цель обработки, перечень данных, которые компания будет обрабатывать, данные об
операторе обработки. В согласии на обработку не должно содержаться условий о
том, что бездействие субъекта является подтверждением акцепта оферты; согласие
на передачу персональных данных неопределенному кругу лиц, в том числе для
направления рекламы; разрешение на обработку данных в целях, не связанных с
предметом договора; разрешается бессрочная обработка персональных данных.
Включение указанных условий в согласие приведет к административной
ответственности по ст. 13.11 КоАП РФ.
При этом согласие на
обработку персональных данных не предполагает согласия на передачу данных. Для
разрешения передачи требуется самостоятельное согласие, в котором также должна
быть конкретно определена цель передачи данных.
Во-вторых, изменения относятся
к такой чувствительной информации, как биометрические персональные данные –
новые правила устанавливают, что предоставление биометрических персональных
данных не может быть обязательным, и отказ предоставить биометрические
персональные данные и (или) дать согласие на обработку персональных данных не
может являться причиной отказа гражданам в заключении договора или
обслуживании.
Следует отметить, что к
биометрическим данным относятся отпечаток пальца, фотоизображение лица,
позволяющее установить личность. Но такие данные как фото в социальных сетях,
копия паспорта не являются биометрическими.
В-третьих, существенно
сокращен срок ответа оператора гражданину на его запрос. Запрос может
представлять собой требование о прекращении обработки персональных данных или
запрос о предоставлении правовых оснований, цели обработки данных, состав
обрабатываемых данных, а также сведения о том, какие меры оператор принимает
для исполнения требований Закона «О защите персональных данных».
Теперь срок ответа на
запрос гражданина составляет 10 рабочих дней, ранее же данный срок составлял 30 календарных дней.
В-четвертых, важное
изменение касается уведомления операторами
Роскомнадзора об обработке данных и об инцидентах (утечках) персональных
данных.
Уведомление в Роскомнадзор
об обработке персональных данных нужно подавать практически во всех случаях
обработки. Перечень случаев, когда обработка возможна без такого уведомления,
существенно сокращен и включает лишь следующие случаи обработки:
- включенных в
государственные информационные системы персональных данных, созданные в целях
защиты безопасности государства и общественного порядка;
- в случае если
оператор осуществляет деятельность по обработке персональных данных
исключительно без использования средств автоматизации;
- обрабатываемых в
случаях, предусмотренных законодательством Российской Федерации о транспортной
безопасности, в целях обеспечения устойчивого и безопасного функционирования
транспортного комплекса, защиты интересов личности, общества и государства в
сфере транспортного комплекса от актов незаконного вмешательства.
Фактически все без исключения компании теперь
обязаны направлять уведомление об обработке персональных данных.
По новым правилам
оператору следует направлять уведомление об инцидентах (утечках) персональных
данных, когда выявили неправомерное копирование базы данных, копия базы данных
стала доступна в интернете, было получено сообщение с угрозой раскрыть базу
данных. Такое уведомление должно быть направлено в течение 24 часов с момента
обнаружения инцидента с характеристикой раскрытых данных, обстоятельствах
инцидента, и указанием лица, ответственного за взаимодействие. После этого у
оператора имеется еще 48 часов для того, чтобы уведомить Роскомнадзор о результате
расследования инцидента с указанием причин утечки данных и виновных в утечке
лиц. Таким образом, операторы поставлены в жесткие временные рамки, как для
уведомления Роскомнадзора об инциденте, так и для расследования инцидента.
В-пятых, новые правила
обработки персональных данных носят экстерриториальный характер, что выражается
в их распространении на случаи, когда персональные данные граждан России
обрабатываются иностранными лицами на основании договора, иного соглашения или
согласия гражданина. Следовательно, иностранное лицо обязано соблюдать все
требования российского законодательства о защите персональных данных, включая
получение согласия на обработку персональных данных, сообщение в Роскомнадзор о
намерении их обрабатывать и т. д. Однако пока остается не понятным, каким
образом будет организован контроль за соблюдением российских норм иностранными
лицами, а также какие меры ответственности смогут применяться в отношении
нарушителей.
И наконец, новые
правила, которые вступят в действие только с 1 марта 2023 года, относятся к
трансграничной передаче персональных данных. Операторы,
которые осуществляют трансграничную передачу персональных данных, обязаны
направить в Роскомнадзор уведомление о трансграничной передаче персональных
данных. Под трансграничной передачей персональных данных понимается передача
персональных данных оператором через государственную границу Российской
Федерации органу власти иностранного государства, физическому или юридическому
лицу иностранного государства.
В уведомлении Роскомнадзора
необходимо указывать контактные сведения получателя данных, сведения о мерах по
защите передаваемых данных, а также информацию о правовом регулировании в
области персональных данных иностранного государства, под чьей юрисдикцией
находится получатель.
Оператор до подачи
уведомления обязан получить от получающего лица, которому планируется
трансграничная передача персональных данных информацию о правовом регулировании
в области персональных данных иностранного государства, под юрисдикцией
которого находятся получающее лицо (в случае, если предполагается осуществление
трансграничной передачи персональных данных в страны, не обеспечивающие
адекватную защиту персональных данных). Указанные сведения не передаются в
Роскомнадзор. Однако в целях оценки достоверности сведений, содержащихся в
уведомлении оператора, Роскомнадзор вправе запросить указанные сведения – срок
для ответа 10 рабочих дней с возможностью продления еще на 5 рабочих дней.
Основания для
направления Роскомнадзором запроса о
предоставлении дополнительных сведений:
1) отсутствие в
распоряжении Роскомнадзора или его территориальных органов сведений о наличии у
иностранного государства уполномоченного органа в области защиты прав субъектов
персональных данных, на территорию которого планируется трансграничная передача
персональных данных;
2) планируется
трансграничная передача биометрических данных, данных, полученных в результате
обезличивания или персональных данных несовершеннолетних лиц;
3) поступление в
Роскомнадзор или его территориальные органы жалобы на иностранное юридическое
лицо, иностранное физическое лицо, зарегистрированных на территории иностранного
государства, на территорию которого планируется трансграничная передача
персональных данных
Порядок передачи персональных
данных зависит от того, обеспечивает ли страна адекватную защиту прав субъектов
персональных данных. В настоящий момент,
согласно реестру Роскомнадзора, стран, обеспечивающих адекватную защиту, всего
89, все они являются стороной Конвенции Совета Европы (1981 г.) о защите
физических лиц при автоматизированной обработке персональных данных или страной, нормы права которых и применяемые
ими меры по обеспечению конфиденциальности и безопасности персональных данных
при их обработке, соответствуют положениям Конвенции. В страну, обеспечивающую
адекватную защиту можно направлять без разрешения.
Если государство не
включено в этот реестр, то нужно получать разрешение на трансграничную передачу
персональных данных. Срок принятия Роскомнадзором решения 10 рабочих дней.
Можно сказать, что
новые правила защиты персональных данных действительно направлены на большую
безопасность данной чувствительной информации. При этом нововведения создадут
большую нагрузку на бизнес, которому потребуется соблюдать жесткие требования
по уведомлению Роскомнадзора и ответам на запросы граждан в сжатые сроки.
Рекомендации
Для того, чтобы процесс
адаптации к новым правилам прошёл как можно менее безболезненно рекомендуем всем организациям провести
аудит внутренних процессов обработки персональных данных.
В рамках аудита нужно:
·
определить все применимые цели обработки
персональных данных, категории и перечень обрабатываемых персональных данных
для каждой цели с указанием субъектов, чьи персональные данные подлежат
обработке;
·
внимательно проанализировать и установить
достаточные способы, сроки обработки и хранения персональных данных для каждой
цели.
·
установить порядок действий при
возникновении инцидента и при получении запросов от граждан.
Все указанные сведения
необходимо закрепить в локальных нормативных актах, в которых также рекомендуем
закрепить порядок уничтожения персональных данных при достижении целей
обработки или при наступлении иных законных оснований. После этого нужно внести
соответствующие изменения в формы договоров и согласий на обработку
персональных данных, проверив, отвечают ли документы критериям предметности и
однозначности.
Желательно назначить в
организации ответственное лицо, которое будет организовывать процесс обработки
персональных данных и взаимодействовать с Роскомнадзором и гражданами по
указанному вопросу.
Если же в организации
планируется или уже осуществляется трансграничная передача персональных данных,
то этому процессу следует уделить еще больше внимания и получить информацию о
мерах которые применяются иностранными контрагентами, чтобы к марту 2023 года
уже иметь возможность исполнять требования закона.
И в заключении также
хотелось бы порекомендовать следить за разъяснениями надзорных органов,
правоприменительной практикой и сохранять спокойствие.
Специалисты Агентства
защиты интеллектуальных прав «ИНКО» готовы проконсультировать Вас по вопросам
обработки персональных данных и разработать необходимые документы.
Контакты:
+7 (383)291-34-51
