Реформа законодательства РФ о персональных данных: Обзор основных изменений и рекомендации для бизнеса
Апрель 2023
ИЗМЕНЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
- Федеральным законом от 14.07.2022 г. № 266-ФЗ были внесены существенные изменения в Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о ПД»).
- Изменения призваны повысить ответственность операторов персональных данных, а также лиц, ответственных за обработку персональных данных по поручению оператора, сделать более прозрачной их деятельность и защитить личные данные граждан РФ.
- oИзменения внесены в 15 из 29 статей Закона о ПД; большинство изменений вступили в силу с 1 сентября 2022 г., а с 1 марта 2023 г. вступили в силу изменения, касающиеся трансграничной передачи ПД.
- Федеральным законом от 28.05.2022 г. № 145-ФЗ введена часть 7 ст. 14.8 КоАП, предусматривающая административную ответственность за отказ в заключении договора с потребителем в случае отказа такого потребителя предоставить его персональные данные. Изменения вступили в силу с 1 сентября 2022 г.
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ В ПРАВОВОМ РЕГУЛИРОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Экс-территориальное действие Закона о ПД
- Закон о ПД применяется к обработке персональных данных (ПД) граждан РФ, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ, либо на основании согласия гражданина РФ на обработку его персональных данных.
- Усиление взаимодействия операторов ПД с Роскомнадзором (РКН): увеличение количества и видов уведомлений
- С 1 сентября 2022 г. отменена большая часть исключений, когда не нужно уведомлять РКН об обработке ПД; подавляющее большинство операторов ПД, в том числе работодатели, теперь обязаны уведомить РКН об обработке ПД.
- С 1 сентября 2022 г. введен новый для российского права механизм реагирования на инциденты и подачи уведомлений о произошедшем инциденте и результатах расследования выявленного инцидента.
- С 1 марта 2023 г. введен новый порядок подачи уведомлений в РКН об осуществлении и о намерении осуществлять трансграничную передачу ПД.
Новеллы и дополнительные требования, касающиеся документов по вопросам обработки ПД, с 1 сентября 2022 г.:
- Новые требования к Положению об обработке ПД и Политике конфиденциальности: онидолжны содержать информацию о категориях, перечне, субъектах ПД, порядке обработки, хранения и уничтожения ПД в отношении каждой цели обработки ПД. Документы не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности.
- Согласие на обработку ПД: введены дополнительные критерии к согласию субъекта ПД на обработку: критерий предметности и однозначности. Согласие на обработку ПД должно быть: 1) конкретным; 2) предметным; 3) информированным; 4) сознательным; 5) однозначным.
- Договоры поручения на обработку ПД: внесены дополнительные требования к содержанию.
- Договоры, по которым субъект ПД является стороной/поручителем/выгодоприобретателем: недопустимы положения, ограничивающие права и свободы физического лица, допускающие в качестве условия заключения договора бездействие субъекта ПД или устанавливающие случаи обработки данных несовершеннолетних (за исключением требований закона).
Новые обязанности операторов ПД с 1 сентября 2022 г.:
- Новые правила размещения Политики конфиденциальности на Интернет-ресурсах – отныне на всех страницах сбора ПД.
- Новые сроки предоставления ответов на обращения субъекта ПД, связанные с ПД – 10 рабочих дней (срок может быть продлен на 5 рабочих дней в исключительных случаях).
- Закреплена обязанность оператора ПД разъяснять субъектам ПД последствия отказа предоставить ПД и/или согласие на их обработку (если в соответствии с федеральным законом предоставление ПД и/илиполучение оператором ПД согласия на их обработку являются обязательными) и запрет отказа в обслуживании субъекта ПД, если он не хочет предоставлять свои биометрические данные и/или соглашаться на обработку ПД (исключая предусмотренные законом случаи обработки таких данных без согласия субъекта ПД).
- Закреплен запрет отказа в заключении договора с потребителем, который отказался представлять свои ПД. Исключения: 1) ПД нужны для исполнения договора с потребителем; 2) предоставить ПД требует законодательство. Штраф для юридических лиц – от 30 000 до 50 000 рублей; для должностных лиц — от 5000 до 10 000 рублей (штраф может быть наложен за каждое отдельное нарушение).
Новые условия договора поручения на обработку ПД и обязанности процессора ПД с 1 сентября 2022 г.:
- Возложение на лицо, обрабатывающее ПД по поручению оператора («Процессора»), всех обязанностей по защите ПД, предъявляемых к оператору.
- Дополнительные требования к содержанию договора поручения на обработку ПД:
Новая информация, подлежащая включению в поручение: перечень ПД, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона о ПД, обязанность по запросу оператора ПД в течение срока действия поручения оператора, в том числе до обработки ПД, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора в том числе требования об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст.21 Закона о ПД (информирование об инцидентах).
- Урегулированы вопросы ответственности: при передаче ПД на обработку иностранному лицу – на иностранного Процессора дополнительно возлагается солидарная ответственность с оператором ПД, т.е. субъект ПД может предъявить требование напрямую как оператору ПД, так и Процессору.
РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
Инцидент – факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД. Планируется создать Реестр инцидентов в области ПД, где будут собраны сведения обо всех подобных нарушениях.
Новый алгоритм действий оператора ПД при наступлении Инцидента:
- В течение 24 часовс момента выявления Инцидента (вне зависимости от того, откуда оператору ПД стало известно об Инциденте): выявить предполагаемую причину утечки, предварительно оценить вред, причиненный субъектам ПД, и направить в РКН первичное уведомление (информацию) об Инциденте, в т.ч. сведения о принятых мерах по устранению последствий Инцидента, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, о лице, уполномоченном на взаимодействие с РКН по вопросам, связанным с Инцидентом.
- В течение 72 часов: провести внутреннее расследование для выяснения причин утечки, виновных лиц (при наличии) и направить в РКН дополнительное уведомление (информацию) о результатах внутреннего расследования Инцидента с указанием итоговых сведений о лицах, действия которых стали причиной Инцидента (при наличии).
РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ: ОТВЕТСТВЕННОСТЬ ЗА УТЕЧКУ ПД
- 2 типа административной ответственности оператора ПД в связи с утечкой ПД:.
Неподача первичного уведомления о факте утечки и/или дополнительного уведомления о результатах внутреннего расследования | Утечка ПД |
---|---|
штраф для юридических лиц от 3 000 до 5 000 руб. | штраф для юридических лиц от 60 000 до 100 000 руб. при повторном нарушении –от 100 000 до 300 000 руб. |
- Разрабатывается законопроект о введении «оборотных штрафов» для компаний, допустивших утечку ПД. Размер штрафа в текущей версии законопроекта, представленного Минцифры, от 5 млн. до 500 млн. руб. «Верхний потолок» предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например попыталась скрыть Инцидент. Также рассматривается введение уголовной ответственности за кражу, неправомерное распространение и продажу ПД.
НОВЫЕ ПРАВИЛА ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ПД с 1 марта 2023 г.
Трансграничная передача персональных данных –передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Операторы ПД делятся на 2 категории:
- Операторы ПД, которые до 1.09.2022 г. осуществляли трансграничную передачу ПД и продолжают ее осуществлять. Таким операторам необходимо было подать в РКН уведомление об осуществлении трансграничной передачи до 1 марта 2023 г. В случае пропуска срока оператор ПД уведомляет РКНонамерении осуществлять трансграничную передачу и проходит полную процедуру проверки в связи с такой передачей в общем порядке.
- Операторы ПД, которые не осуществляли трансграничную передачу до 1.09.2022 г., но намереваются ее осуществлять. Такие операторы ПД подают в РКН уведомление
о намерении осуществлять трансграничную передачу.
- Штраф для юридических лиц за неуведомление РКН — от 3 000 до 5 000 руб.
- РКН может ограничить или запретить трансграничную передачу в целях защиты конституционного строя, защиты нравственности, безопасности государства, обороны, защиты экономических интересов.
- РКН рассматривает уведомление о намерении осуществлять трансграничную передачу ПД
в течение 10 рабочих дней. - Требования к содержанию Уведомленияи порядку осуществления трансграничной передачи ПД в зависимости от юрисдикции, в которую передаются ПД:
Юрисдикции с «адекватным» уровнем защиты | Юрисдикции с «неадекватной» защитой |
---|---|
Страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД | В период рассмотрения уведомления передача ПД ограничена |
В период рассмотрения уведомления передача ПД не ограничена | До подачи уведомления необходимо получить информацию о правовом регулировании в области ПД в запрашиваемой юрисдикции |
РЕКОМЕНДАЦИИ ДЛЯ БИЗНЕСА
- Провести аудит действующих в организации документов и внутренних процессов касательно всех действий с ПД на предмет соответствия новым требованиям законодательства.
- Выявить ошибки и слабые места, классифицировать их с точки зрения значимости для организации. Разработать и утвердить дорожную карту со сроками внедрения того или иного этапа с учетом сферы коммерческой деятельности организации и репутационных последствий.
- Подать уведомление в РКН об обработке ПД (в случае, если организация не подпадает под сохранившиеся в Законе о ПД исключения из требования).
- Актуализировать поручения и соглашения об обработке ПД, договоры с субъектами, шаблоны согласия и ЛНА. Обновить Политику по обработке персональных данных (о конфиденциальности) и правила ее публикации на страницах веб-сайта оператора ПД.
- Начать подготовку к соблюдению новых требований о трансграничной передаче ПД, инициировать получение информации о режиме правового регулирования иностранных контрагентов.
- Следить за разъяснениями РКН, надзорных органов и правоприменительной практикой.
НАША ЭКСПЕРТИЗА
- Консультирование крупнейшего дистрибьютора косметики и парфюмерии относительно соблюдения требований законодательства о ПД, необходимых для работы Интернет-магазина;
- Приведение Политики по обработке персональных данных в соответствие с требованиями законодательства, подготовка корпоративных положений по обработке ПД, составление форм согласий на обработку ПД, уведомлений об обработке в согласно требованиям российского законодательства для ряда крупных ритейлеров;
- Проведение правового аудита процессов обработки ПД и защиты информации крупного иностранного fashion-ритейлера;
- Проведение тренингов для сотрудников российского офиса крупного fashion-ритейлера по вопросам соблюдения действующих в компании ЛНА в области обработки ПД;
- Подготовка компании – провайдера информационных услуг по сопровождению логистических операций к проверке РКН в отношении соблюдения требований законодательства к обработке ПД, устранение нарушений, выявленных по итогам проверки, доработка внутренних документов.
Специалисты ЭРЕС ЛИГАЛ готовы оказать Вашей компании всестороннюю юридическую поддержку по вопросам соблюдения законодательства в области ПД, включая:
- Аудит текущей деятельности компании на предмет соответствия законодательству о ПД и подготовку рекомендаций по приведению деятельности и внутренних процессов в соответствие с указанным законодательством;
- Приведение внутренних документов компании в соответствие с требованиями Закона о ПД, включая актуализацию и/или разработку Политики по обработке персональных данных (о конфиденциальности), форм согласий, договоров поручения на обработку ПД и иных документов;
- Подготовка требуемых Законом о ПД уведомлений в РКН: об обработке ПД; о трансграничной передаче ПД, об инцидентах;
- Консультирование по вопросам трансграничной передачи ПД;
- Консультирование по вопросам локализации ПД;
- Представление интересов клиента при взаимодействии с РКН;
- Проведение тренингов для работников по вопросам соблюдения действующих в компании локальных нормативных актов в области обработки персональных данных.