Найти в Дзене
AG-LEGAL: IT-юристы
4 подписчика

Как собирать персональные данные в 2023 году? Гайд по изменениям в законе.

1
9 мин
14 июля 2022 года внесены поправки в закон о персональных данных (ПД), которые изменяют порядок работы с персональными данными клиентов. В этой статье  мы подробно разберем, как теперь нужно осуществлять операции с персональными данными и расскажем какие появились риски. Важнее всего: Оглавление: 1.     Новые требования к согласиям на обработку ПД (ст. 1 п. 3 пп. а); 2.     Новые требования к политике конфиденциальности и локальным актам (ст. 1 п. 10); 3.     Ускорение реагирования на запросы субъектов (ст. 1 п. 12); 4.     Биометрические персональные данные(ст. 1 п. 6); 5.     Новые правила трансграничной передачи и принцип экстерриториальности (ст. 1  п. 1 и п. 12); 6.     Новые правила к поручению оператора обработчику (ст. 1 п. 3 пп. б); 7.     Новые требования к безопасности персональных данных (ст. 1 п. 11); 8.     Новый регламент для проведения “оценки вреда”. (ст. 1 п. 10 пп а абз 5); 9.     Новый порядок уведомления субъектов ПД (ст. 1 п. 13 пп. а и п. 14, пп б); 10.  Итог. И

14 июля 2022 года внесены поправки в закон о персональных данных (ПД), которые изменяют порядок работы с персональными данными клиентов. В этой статье  мы подробно разберем, как теперь нужно осуществлять операции с персональными данными и расскажем какие появились риски.

Важнее всего:

  • обновить политику конфиденциальности и усовершенствовать порядок получения согласия на обработку персональных данных;
  • организовать внутреннюю документацию в соответствии с усиленными правила ми безопасности данных;
  • наладить взаимодейтсвие с ГосСОПКой (подразделение ФСБ);
  • при передаче персональных данных за границу, важно сообщить об этом в Роскомнадзор.

Оглавление:

1.     Новые требования к согласиям на обработку ПД (ст. 1 п. 3 пп. а);

2.     Новые требования к политике конфиденциальности и локальным актам (ст. 1 п. 10);

3.     Ускорение реагирования на запросы субъектов (ст. 1 п. 12);

4.     Биометрические персональные данные(ст. 1 п. 6);

5.     Новые правила трансграничной передачи и принцип экстерриториальности (ст. 1  п. 1 и п. 12);

6.     Новые правила к поручению оператора обработчику (ст. 1 п. 3 пп. б);

7.     Новые требования к безопасности персональных данных (ст. 1 п. 11);

8.     Новый регламент для проведения “оценки вреда”. (ст. 1 п. 10 пп а абз 5);

9.     Новый порядок уведомления субъектов ПД (ст. 1 п. 13 пп. а и п. 14, пп б);

10.  Итог.

Источник: Федеральный закон от 14.07.2022 № 266-ФЗ

Новые требования к согласиям на обработку ПД (ст. 1 п. 3 пп. а)

Вступает в силу с 1 сентября 2022 г.

Согласие может получить в форме отдельного документа, с помощью электронной подписи или активации субъектом специального флажка «чекбокса» напротив пользовательского соглашения или политики конфиденциальности.

Появились новые критерии к согласию (ст. 1 п. 4), например:

  • предметность (дача согласия в отношении определенного перечня обрабатываемых персональных данных);
  • однозначность (наличие однозначного волеизъявления с помощью заявления или четкого утвердительного действия).
Зеленый - новый текст, который добавился
Зеленый - новый текст, который добавился

Запреты при получении согласия:

1. Собирать ПД несовершеннолетних можно только в случаях, установленных законодательством РФ.

2. Запрет на ограничение прав и свобод субъектов персональных данных.

3. Согласие нельзя получить путем молчания, не предоставления ответа в течение какого-то времени и т.д.

Зеленый - новый текст, который добавился
Зеленый - новый текст, который добавился

Нужно сделать:

Проверить на соответствие новым правилам следующие документы:

  • согласия субъектов ПД;
  • пользовательские соглашения;
  • политику конфиденциальности;
  • другие договоры, содержащие информацию о ПД клиентов.

Нарушение правил для согласий на обработку персональных данных (КоАП ч. 2 ст. 13.11) наказывается штрафом от 30 до 150 тыс. руб. Повторное нарушение от 300 до 500 тыс. руб.

Новые требования к политике конфиденциальности и локальным актам (ст. 1 п. 10):

Вступает в силу с 1 сентября 2022 г.

Теперь в политике конфиденциальности для каждой цели обработки необходимо прописать (ст. 1 п. 10. пп. а абз. 4):

  • категории и перечень ПД;
  • способы, сроки их обработки и хранения;
  • порядок уничтожения;

Целью обработки, например, может быть оказание услуг по договору или проведение смс-рассылки.

Зеленый - новый текст, который добавился
Зеленый - новый текст, который добавился

Важно! теперь каждая страница сайта, на которой осуществляется сбор ПД, должна содержать политику конфиденциальности (ст. 1 п. 10. пп б).

Зеленый - новый текст, который добавился
Зеленый - новый текст, который добавился

Нужно сделать:

Обновить политику конфиденциальности (указать для каждой цели обработки ПД новые требования) и разместить ее на всех страницах сайта, где происходит сбор персональных данных.

Нарушение правил опубликования политики (КоАП ч. 3 ст. 13.11) наказывается штрафом от 30 до 60 тыс. руб.

Ускорение реагирования на запросы субъектов (ст. 1 п. 12)

Вступает в силу с 1 сентября 2022 г.

Теперь пользователи могут

  • спросить какие именно ПД есть у компании;
  • запросить ознакомиться с ними;
  • попросить прекратить обработку ПД.

Ответить на запрос компания должна в течение 10 рабочих дней с возможностью продления до 15 рабочих дней, хотя раньше этот срок составлял 30 дней.

Нужно сделать:

1. Проинформировать сотрудников об ускорении процедуры ответа на запросы субъектов ПД.

2. Изменить срок в политике конфиденциальности и внутренних документах реагирования на актуальный.

При нарушении, если компания не предоставит требования по запросу в нужный срок (КоАП ч. 4 ст. 13.11) предусмотрен штраф от 40 до 80 тыс. руб.

Биометрические персональные данные (ст. 1 п. 6)

Вступает в силу с 1 сентября 2022 г.

К биометрическим данным относятся отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

Теперь компания должна предоставлять услуги клиенту, даже если тот отказывает в предоставлении биометрических данных,

Нужно сделать:

Удалить из Договора условие об обязательности предоставления биометрических персональных данных.

При нарушении будет наложен штраф от 60 до 1000 тыс. руб. (КоАП ч. 1 ст. 13.11.)

Возможно, договоры также будут признаваться недействительными.

Новые правила трансграничной передачи и принцип экстерриториальности (ст. 1 п. 1 и п. 12)

Теперь ФЗ "О персональных данных" содержит принцип экстерриториальности и распространяется также на иностранных лиц, которые осуществляют обработку ПД граждан РФ с 1 сентября 2022 года

Новые правила трансграничной передачи вступают в силу с 23 марта 2023 г. и применяются в том числе, если компания до вступления в силу изменений занималась трансграничной передачей данных.

При трансграничной передаче ПД передаются через границу иностранному лицу. В этом случае нужно направить Роскомнадзору отдельное уведомление до 1 марта 2023 года.

-6

Роскомнадзор может принять решение о запрете передачи ПД иностранному лицу. Тогда иностранное лицо должно уничтожить ранее полученные ПД, а оператор предоставить подтверждение этого.

Роскомнадзор пояснил, как Оператор может предоставить подтверждение об уничтожении ПД: «Уничтожение персональных данных субъекта проводится комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.»

Важно! правила уведомления о трансграничной передаче отличаются в зависимости от того, в какую страну направляются данные

Закон предусматривает два режима для передачи ПД:

Уведомительный режим (при передаче данных в страны, обеспечивающих адекватную защиту прав, достаточно отправить уведомление в Роскомнадзор)

Разрешительный режим (при передаче данных в страны, не входящие в специальный перечень, оператор обязан получить разрешение Роскомнадзора)

Нужно сделать:

Если компания передает ПД за границу:

  • Определить к какому виду стран относится страна получателя ПД.
  • Собрать необходимую информацию.
  • Уведомить Роскомнадзор до 1 марта 2023.

За нарушение и несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

Новые правила к поручению от оператора обработчику (ст. 1 п. 3 пп. б)

Оператор - лицо, осуществляющее сбор согласия субъектов ПД и обработку ПД. Все операторы перечислены в реестре https://pd.rkn.gov.ru/operators-registry/operators-list/.

Обработчик - лицо, осуществляющее обработку ПД строго по поручению оператора. При этом он обязан:

  • соблюдать конфиденциальность;
  • не передавать ПД третьим лицам;
  • действовать в рамках поручения оператора.

Поручение - договор между обработчиком и оператором.

Поручение к обработчику персональных данных теперь должно содержать:

  • перечень ПД;
  • планируемые операции с ПД;
  • цели обработки ПД;
  • гарантию соблюдения конфиденциальности и безопасности ПД;
  • обязанность обработчика по запросу оператора направить отчет о соблюдении требований конфиденциальности и безопасности;
  • обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД с использованием баз данных;
  • все требования к защите ПД, содержащиеся в ст. 19 фз-152.

Важно! если обработчиком является иностранная компания, то оператор и обработчик несут ответственность наравне. (ст. 1, п. 3, пп. в)

Новые требования к безопасности персональных данных

Вступают в силу с 1 сентября 2022 года

Как выстроить взаимодействие с ГосСОПКой (ст. 1 п. 11)?

ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) занимается расследованием кибератак и выявлением уязвимости информационных систем безопасности.

ФСБ в скором времени примут подзаконный акт, который конкретизирует как взаимодействовать с ГосСОПКой. После принятия акта ФСБ нужно:

принять регламент взаимодействия с ГосСОПКой

выполнить иные требования акта (например, могут обязать установить специальное ПО).

Нужно сделать:

Внедрить взаимодействие с ГосСОПКой в соответствии с актом, принятым ФСБ

За нарушение и несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб. ФСБ в подзаконных актах могут также определить дополнительную ответственность за отказ подключаться к ГосСОПКе.

Будет принят новый регламент для проведения “оценки вреда”. (пп а абз 5 ст. 1 п. 10)

Вступает в силу с 1 марта 2023 года.

Специальные требования Роскомнадзора будут приняты к 1 марта 2023 года. Предположительно, они будут касаться процедуры оценки вреда и порядка ее проведения.

Нужно сделать:

Дождаться акта Роскомнадзора и, если оценка вреда станет обязательной, проводить ее в соответствии с новыми правилами.

До вступления изменений в силу компания сама выбирала какие меры по обеспечению безопасности ПД принимать. Оценка вреда должна проводиться только при получении специального предписания Роскомнадзора, выполнение которого обязательно.

За нарушение Роскомнадзор в подзаконных актах может в будущем определить ответственность.

Новый порядок уведомления субъектов ПД

Вступает в силу с 1 сентября 2022 года.

Теперь в случае инцидента, то есть неправомерной или случайной передачи ПД, оператор обязан (ст. 1 п. 13 пп. а):

1. В течение 24 часов уведомить Роскомнадзор. В частности, необходимо сообщить предполагаемые причины утечки и предполагаемый вред.

2. В течение 72 часов провести расследование инцидента и сообщить о его результатах.

За нарушение и несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

В случае изменения или прекращения обработки ПД оператор обязан (ст. 1, п. 14, пп б):

  1. Сообщить в Роскомнадзор об изменениях ПД в вашей базе в течение 15 дней;
  2. Сообщить о прекращении обработки ПД в течение 10 дней.

За нарушение и несообщение информации госорганам (КоАП 19.7) предполагается штраф от 3 до 5 тыс. руб.

Нужно сделать:

1. Создать внутренний регламент расследования и уведомления об инцидентах и предоставлять его в случае проверки Роскомнадзора.

2. Внести изменения во внутренний регламент компании. Уведомить сотрудников об этих изменениях.

Итог

На данном этапе компаниям нужно:

  • провести ревизию политики конфиденциальности и разместить ее на всех страницах сайта;
  • провести ревизию договоров и согласий на использование ПД;
  • изменить внутренние акты компании для ускорения реагирования на запросы субъектов ПД;
  • изменить внутренние акты компании, внести обязанность сотрудников уведомлять Роскомнадзор об изменениях ПД клиентов;
  • в случае передачи ПД пользователей иностранным компаниям, уведомить Роскомнадзор о трансграничной передаче.

Несмотря на большое количество новых требований, вероятность привлечения к административной ответственности до конца 2022 года мала, потому что на плановые проверки Роскомнадзора наложен мораторий.

Постепенно изменения будут дополняться практикой и пояснениями госорганов, которые мы будем разбирать в следующих наших статьях.

Также мы делаем полезные разборы новых законов по ИТ-льготам. Если хотите оперативно узнать о наших статьях новостей, подписывайтесь на наш канал @aglegal. По всем вопросам: +7 969 704 2456 (Герман).