Закручивание гаек или изменения в Законе о перс. данных (152-ФЗ) с 1 сентября

Время прочтения: 5 минут.

Для кого: иностранным (да-да) и российским компаниям, которые так или иначе обрабатывают персональные данные россиян.

Наверняка вы слышали о том, что с 1 сентября грядут изменения в Закон о перс. данных (152-ФЗ). Давайте более подробно посмотрим какие сюрпризы уготованы бизнесу и как теперь придется жить в этих реалиях.

Итак, начнем с самых животрепещущих изменений.

1. Закон о персональных данных теперь обязаны соблюдать иностранные физические и юридические лица, которые обрабатывают ПД российских граждан.

Что значит для бизнеса?

Если ваша компания зарегистрирована в иностранной юрисдикции и обрабатывает ПД российских граждан, адаптируйте текущую политику по обработке ПД под требования Закона о персональных данных (152-ФЗ).

Согласитесь, норма очень обременительна для иностранных компаний и совсем не привлекательна для иностранных инвестиций (если об этом вообще можно сейчас мечтать).

Также интересно понаблюдать за тем, как на практике будут применяться санкции к компаниям, у которых нет ни представительства, ни имущества в РФ.

2. Вы обязаны уведомлять Роскомнадзор об обработке ПД если обработка автоматизирована (касается 90% компаний)

Даже если лицо сообщило только Ф.И.О. например, для оформления одноразового пропуска на территорию компании.

Уведомление о том, что вы планируете обрабатывать ПД нужно направить до 1 сентября 2022 года. Роскомнадзор в течение 30 дней вносит информацию в реестр операторов персональных данных.

До выполнения этой обязанности вы не вправе работать с ПД граждан.

! Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но если какие-то виды обрабатываемых ПД отсутствуют, то нужно уведомить Роскомнадзор об изменении сведений.

3. Если у вас произошла DDos-атака или иной инцидент, приведший к несанкционированной передаче ПД (предоставление, распространение, доступ) вы должны сообщить об этом в Роскомнадзор и ГосСОПКу.

Уведомить Роскомнадзор необходимо:

- о причинах инцидента, предполагаемом вреде субъектам ПД, принятым мерам по устранению последствий инцидента в течение 24 часов с момента обнаружения неправомерной или случайной передачи ПД

- о результатах внутреннего расследования и об ответственных за инцидент лицах в течение 72 часов с момента обнаружения инцидента

Взаимодействие с ГосСОПКой позднее определит ФСБ.

Напоминаю, это требование касается иностранных компаний. И смешно, и грустно.

4. Изменения в грядущем 2023: Трансграничная передача данных

Оператор до начала обработки данных должен уведомить Роскомнадзор о трансграничной передаче персональных данных, если они передаются в «адекватные страны»;

Оператор до начала обработки данных должен получить согласие от Роскомнадзора о трансграничной передаче персональных данных, если они передаются в «неадекватные страны». Передача данных возможна только после получения согласия.

Ты адекват?

Страны, обеспечивающие адекватный уровень защиты персональных данных – это страны, входящие в Конвенцию Совета Европы (о защите физических лиц при автоматизированной обработке персональных данных) и предпринимающие всевозможные меры по защите персональных данных субъектов. Это своеобразный маркер доверия.

Роскомнадзор периодически обновляет перечень стран, которые не входят в Конвенцию Совета Европы и, соответственно, обеспечивают неадекватный уровень защиты персональных данных.

Тенденции к закручиванию гаек

Изменения, вступающие в силу 1 сентября, потребуют уточнений и доработок со стороны государственных органов. Например,

От Правительства ожидаются уточнения:

- порядка принятия решения о запрещении или об ограничении трансграничной передачи ПД и порядок информирования об этом операторов;

- случаев, при которых операторы, осуществляющие трансграничную передачу ПД, могут не уведомлять РКН.

От Роскомнадзора:

- требования по оценке вреда, который может быть причинен субъектам ПД при утечке их данных;

- порядок подтверждения уничтожения ПД;

- порядок и условия взаимодействия с операторами в рамках ведения реестра учета инцидентов в области ПД.

От ФСБ:

- порядок взаимодействия операторов с ГосСОПКой;

- порядок информирования ФСБ операторами об инцидентах (утечке данных);

- порядок взаимного обмена информации об инцидентах (утечке данных) между ФСБ и Роскомнадзором.

Все эти действия направлены на максимальный государственный контроль в части обработки и передачи за границу персональных данных.

Ну и ряд адекватных изменений, вступающих в силу с 1 сентября:

1. Согласие на обработку ПД не может содержать условия, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Что делать бизнесу?

А. Убедитесь, что в документе отражены цели сбора ПД и что субъект ПД ясно выразил свое согласие с условиями (например, подписало согласие об обработке ПД);

Б. Разработать политику в отношении cookie, если у вас ее еще нет. Раньше она была необязательной. С 01 сентября - must have.

2. Если поручаете обработку ПД другому лицу, в поручении должен быть отражен перечень ПД, подлежащих обработке.

3. Если вы являетесь лицом, которому поручили обработку ПД, вы должны быть готовы предоставить оператору ПД внутренние документы и информацию, регламентирующие порядок и условия обработки ПД и обеспечивающие безопасность данных при их обработке с указанием требований к защите ПД.

Документы могут быть запрошены как до, так и во время обработки ПД по поручению.

Что делать бизнесу?

Разработать внутреннюю политику об обработке ПД, чтобы предоставлять ее по запросу.

4. Если вы поручили обработку ПД иностранному физическому/юридическому лицу, ответственность перед субъектом персональных данных за нарушение несут оба.

И оператор, и лицо, осуществляющее обработку ПД по поручению оператора.

Напомню о размерах штрафов за нарушение Статьи 13.11. КоАП РФ (Нарушение законодательства РФ в области персональных данных):

граждане - от 2 000 руб. до 6 000 руб.;

должностные лица - от 10 000 руб. до 20 000 руб.;

юридические лица - от 60 000 руб. до 100 000 руб

5. Оператор не вправе отказывать в обслуживании клиенту (субъекту ПД), если он отказался предоставить биометрические ПД, если такой вид обработки ПД не является обязательным по закону.

6. Установлены сроки на ответ по запросу субъекта ПД

Если субъект ПД направил вам запрос с требованием пояснить каким образом обрабатываются его ПД, вы должны ответить на него в течение 10 рабочих дней с даты получения запроса. Ответ должен быть направлен в том формате, который запросил субъект ПД.

Срок ответа на запрос может быть продлен, но не более, чем на 5 рабочих дней. При этом вы должны указать причины продления срока.

7. Если ПД получены не от субъекта ПД, а от третьего лица, до начала обработки ПД вы обязаны сообщить субъекту ПД не только данные о таком третьем лице и цель обработки вами ПД, но и перечень ПД, которые вы обрабатываете.

Что делать бизнесу?

Сообщите субъекту о том, какие именно ПД вы получили от третьих лиц для обработки. Также укажите в сообщении от кого вы получили ПД, а также цели и правовые основания их обработки.

8. В законе регламентировали разделы, которые должна содержать политика об обработке ПД для каждой цели обработки:

• категории и перечень данных;

• категории субъектов персональных данных;

• способы и сроки обработки и хранения данных;

• порядок уничтожения.

Полномочия операторов по обработке ПД не должны содержать какие-либо обязательства, не предусмотренные 152-ФЗ.

Что делать бизнесу?

Привести политику об обработке ПД в соответствие с требованиями.

9. Если к вам обратилось лицо с требованием прекратить обработку его ПД, вы должны исполнить это требование в течение 10 рабочих дней.

Срок исполнения требования субъекта ПД может быть продлен, но не более, чем на 5 рабочих дней. При этом вы должны указать причины продления срока исполнения требования.

10. С 1 сентября 2022 года не нужно уведомлять Роскомнадзор если вы будете осуществлять неавтоматизированную обработку персональных данных

11. Если вы перестали обрабатывать ПД и направили соответствующий запрос в Роскомнадзор об исключении вас из реестра операторов, Роскомнадзор обязан исполнить ваше требование в течение 30 дней с даты поступления такого требования.