Новые критерии нарушений при обработке персданных: обзор проекта приказа Минцифры
2 октября 2024 был опубликован текст проекта, который вносит изменения в Приказ Минцифры России от 15.11.2021 № 1187 «Об утверждении перечня идентификаторов рисков при нарушении требований в области обработки персональных данных».
Сейчас предусмотрено 4 идентификатора риска, проект вносит новый критерий. Рассмотрим это предложение и расскажем о трудностях, которые могут возникнуть у операторов персональных данных после этих изменений.
Действующее регулирование
Актуальный Приказ Минцифры России «Об утверждении перечня идентификаторов рисков при нарушении требований в области обработки персональных данных» содержит 4 идентификатора риска:
1) В течение года зафиксировано 10 и более случаев, когда информация, которую контролируемое лицо предоставило по запросу контролирующего органа, не соответствовала информации, полученной от граждан.
2) В течение года зафиксировано 10 и более случаев, когда контролируемое лицо предоставило доступ к базам персональных данных неограниченному кругу лиц или распространило их в интернете
3) Зафиксировано 3 и более случаев несоответствия информации, указанной оператором в уведомлениях регулятора, информации, размещённой в его политике обработки персональных данных, размещенной в интернете.
4) В течение года зафиксировано 2 и более случаев, когда информация, предоставленная контролируемым лицом, не соответствовала правилам использования рекомендательных технологий.
При выявлении этих индикаторов Роскомнадзор после согласования с органами прокуратуры может провести внеплановую проверку в отношении оператора персональных данных. Если проверка выявит нарушения, оператору могут выдать предписание об устранении нарушений, а также привлечь к административной ответственности за его неисполнение.
Суть изменений
Предложено ввести еще один критерий:
наличие у контролирующего органа информации о 2 и более случаях в течение календарного года трансграничной передачи персональных данных с помощью программных средств, которыми владеет иностранное юридическое или физическое лицо, без уведомления контролирующего органа о намерении осуществлять трансграничную передачу.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 ФЗ РФ “О персональных данных”).
Обращаем особое внимание на положение о трансграничной передаче. В практике Роскомнадзора есть позиция, согласно которой при использовании интернет-сервиса «Google Analytics» оператором осуществляется трансграничная передача персональных данных пользователей, следовательно, это может быть признано нарушением ст. 12 ФЗ РФ «О персональных данных». Платформа популярна у бизнеса, компании ее повсеместно используют.
Рекомендации
Предлагаем ряд действий, которые помогут соблюсти требования законодательства о персональных данных:
1) Организуйте регулярный мониторинг трансграничных передач данных: для этого потребуется инвентаризация каналов и передачи данных за пределы России, далее нужно выявить каналы, использующие программные средства иностранных компаний.
2) Ведите учёт данных: настройте системы учета и отслеживания фактов трансграничной передачи персональных данных. Рекомендуем вести журнал с подробным указанием объема данных, контрагентов, целей и иных существенных деталей.
3) Анализируйте риски: проведите оценку рисков трансграничной передачи данных, определите наиболее уязвимые направления.
4) Рассмотрите альтернативы Google Analytics: например, малый и средний бизнес может использовать Яндекс Метрику или Matomo, а крупным проектам больше подойдет внедрение собственной системы веб-аналитики.
5) Уведомляйте Роскомнадзор о трансграничных передачах. Для этого нужно:
- ознакомиться с установленным порядком уведомления;
своевременно направлять в Роскомнадзор уведомления о намерении осуществлять трансграничную передачу персональных данных. В уведомлении указывать необходимые сведения;
хранить подтверждения получения Роскомнадзором уведомлений в качестве доказательств на случай проверок.
Заключение
Предлагаемые изменения в законодательство усиливают контроль за трансграничной передачей данных с использованием программных средств иностранных компаний. С установлением новых правил операторы столкнутся с дополнительными сложностями и ограничениями.
Для предупреждения рисков рекомендуем обращаться к за консультацией к профессиональным юристам. Специалисты ЦПО групп подробно расскажут о требованиях законодательства о персональных данных и окажут комплексную юридическую поддержку в сложных или спорных ситуациях. Мы поможем вам избежать потенциальных штрафов и других неблагоприятных последствий.
Контакты для связи:
Дружинин Максим
Тел.: +7 (812) 603-45-25 (доб. 356)
E-mail: cpo52@pravorf.ru
Много интересного контента по правовым вопросам в сфере персональных данных, IT и рекламы мы публикуем
Подписывайтесь и будьте в курсе последних событий в сфере IT!