Найти тему
Digital and Talk
3 подписчика

Персональные данные: масштабные изменения в регулировании

2
9 мин
Оглавление

1 сентября 2022 года вступают в силу изменения в Федеральном законе № 152 «О персональных данных» (далее – «Закон о персональных данных») и изменения в Федеральном законе № 2300-1 «О защите прав потребителей» (далее – «Закон о защите прав потребителей»).

Принятые поправки в значительной мере меняют Закон о персональных данных: введены новые и изменены существующие обязанности операторов, расширена сфера действия Закона, появляются новые процедуры согласования и уведомления государственных органов об обработке персональных данных (далее – «ПД»).

В новой редакции Закон о защите прав потребителей запрещает отказывать потребителю в заключении договора, если он отказывается предоставить ПД, которые не связаны с исполнением такого договора.

Ниже мы приводим анализ основных изменений Закона о персональных данных и Закона о защите прав потребителей.

Сфера действия Закона о персональных данных

До вступления в силу изменений экстерриториальный принцип применения Закона о персональных данных, то есть обязанность его соблюдения иностранными компаниями, формально распространялся только на требования о локализации ПД.

В соответствии с новыми положениями Закона о персональных данных иностранные юридические и физические лица также обязаны соблюдать данный закон в полном объеме при обработке ПД граждан России, если обработка осуществляется на основании договора или с согласия такого гражданина.

Мы рекомендуем иностранным компаниям, деятельность которых направлена на российских граждан, оценить применимость Закона о персональных данных к их деятельности и привести ее в соответствие с этим Законом.

Обработка ПД для исполнения договора

Изменения предполагают определенные ограничения при обработке ПД на основании исполнения договора. Так, заключаемый договор не может содержать положения:

  • ограничивающие права и свободы субъекта;
  • устанавливающие случаи обработки ПД несовершеннолетних (если иное не предусмотрено законодательством); или
  • допускающие в качестве условия заключения договора бездействие субъекта.

Поправки сформулированы достаточно широко, поэтому мы ожидаем, что критерии отнесения того или иного положения договора к недопустимому будут сформированы в правоприменительной практике либо разъяснениях регулятора.

Тем не менее уже на данном этапе мы рекомендуем проанализировать текущие договоры с физическими лицами на предмет соответствия новым положениям Закона о персональных данных.

Новые обязанности и ответственность обработчиков

Изменения Закона о персональных данных ужесточили требования к так называемым обработчикам, то есть лицам, обрабатывающим ПД по поручению оператора.

Так, в поручении оператора, в дополнение к установленной ранее информации, необходимо указать следующие обязанности обработчика:

  • локализовать ПД российских граждан в России при их сборе;
  • принимать меры, предусмотренные ст. 18.1 Закона о персональных данных (назначение ответственного за организацию обработки ПД, опубликование политики, принятие мер по обеспечению безопасности ПД и пр.);
  • предоставлять оператору документы, подтверждающие соблюдение указанных мер; и
  • уведомлять оператора об утечке ПД.

​Мы рекомендуем проверить текущие соглашения с обработчиками и скорректировать их с учетом поправок.

Кроме того, новая редакция Закона о персональных данных устанавливает, что иностранные обработчики несут ответственность перед субъектами ПД напрямую, а не только через оператора.

Новые правила трансграничной передачи ПД

С 1 марта 2023 года вступают в силу новые правила трансграничной передачи.

В новой редакции Закона о персональных данных ужесточены правила трансграничной передачи и введено обязательное предварительное уведомление регулятора о намерении передать ПД за пределы России.

До подачи уведомления оператор должен провести оценку получателя ПД, собрав следующие сведения:

  • о лицах, которым передаются ПД;
  • о мерах по защите передаваемых ПД и об условиях прекращения их обработки; и
  • о правовом регулировании в области ПД иностранного государства (если страна не является государством, обеспечивающим адекватную защиту прав субъектов персональных данных).

Далее оператор обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД и предоставить детальную информацию о планируемой трансграничной передаче, включая категории и перечень передаваемых данных, категории субъектов ПД, страны, куда данные будут передаваться, и пр.

По факту получения уведомления Роскомнадзор имеет право запретить или ограничить передачу ПД в целях среди прочего защиты нравственности, здоровья, прав и законных интересов граждан, защиты основ конституционного строя, безопасности и обороны государства, а также защиты экономических интересов России.

Такое решение принимается Роскомнадзором в течение десяти рабочих дней с даты получения уведомления. До получения решения оператор может осуществлять трансграничную передачу ПД в страны, являющиеся сторонами Конвенции Совета Европы № 108 или включенные в специальный перечень Роскомнадзора.

В другие страны передача ПД возможна только после истечения сроков для принятия решения Роскомнадзором и в случае отсутствия решения о запрете. В случае запрета или ограничения трансграничной передачи оператор обязан обеспечить уничтожение ранее переданных им данных на территории иностранного государства.

Операторы, которые осуществляли трансграничную передачу до 1 марта 2023 года и продолжат ее осуществлять после этой даты, обязаны направить в Роскомнадзор указанное уведомление не позднее 1 марта 2023 года.

Взаимодействие с ГосСОПКА

Новая редакция Закона о персональных данных также обязывает оператора обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Цель – информирование о компьютерных инцидентах, повлекших неправомерную передачу ПД.

Порядок взаимодействия в настоящее время не определен и будет установлен Федеральной службой безопасности России отдельным подзаконным актом.

Обязанность уведомления об утечке ПД

В случае утечки (неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов) оператор обязан уведомить Роскомнадзор:

  • в течение 24 часов с момента выявления такого инцидента о произошедшей утечке и ее деталях; и
  • в течение 72 часов с момента выявления инцидента о результатах его внутреннего расследования, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В настоящее время новая редакция Закона о персональных данных не содержит исключений из обязанности по уведомлению об утечке, однако, возможно, в будущем будут разработаны критерии незначительности утечки, которые станут освобождать от необходимости уведомлять о любой незначительной неправомерной или случайной передаче ПД.

На данном этапе мы рекомендуем ввести правила внутренних расследований утечек, особенно учитывая сжатые сроки исполнения обязанностей по уведомлению Роскомнадзора.

Обработка ПД по Закону о защите прав потребителей

После 1 сентября 2022 года компании будут не вправе отказать потребителю в заключении, исполнении или прекращении договора, если последний отказывается предоставить свои персональные данные.

В качестве исключения указываются случаи, когда обязанность предоставления таких данных предусмотрена законом или непосредственно связана с исполнением договора с потребителем.

Кроме того, потребители получают право запросить информацию о конкретных причинах и правовых основаниях, из-за которых заключить, исполнить или прекратить договор без предоставления ПД не представляется возможным.

Потребитель также может потребовать удаления пунктов договора, устанавливающих условия обработки ПД, а компания обязана в течение десяти дней принять мотивированное решение и известить о нем потребителя.

Новые правила будут применяться и к договорам, которые были заключены до 1 сентября 2022 года. Таким образом, изменения коснутся взаимодействия как с новыми, так и с текущими клиентами.

Если включение в договор условий, ущемляющих права потребителя, повлекло причинение убытков, то они подлежат возмещению в полном объеме. Кроме того, включение в договор условий, ущемляющих права потребителя, может повлечь наложение административного штрафа в размере до 20 тысяч рублей.

Мы рекомендуем пересмотреть договоры с потребителями в части положений об обработке ПД, объем собираемых данных, а также порядок взаимодействия с потребителями на этапе заключения договора и обработки запросов.

Иные изменения

Помимо вышеуказанных изменений, новая редакция Закона о персональных данных также вводит значительное количество иных новшеств. Ниже мы кратко приводим некоторые из них:

  • С 1 марта 2023 года в политике обработки ПД применительно к каждой цели обработки оператор должен будет определять:
    - категории и перечень обрабатываемых данных;
    - категории субъектов, персональные данные которых обрабатываются;
    - способы, сроки обработки и хранения ПД;
    - порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований.
  • Существенно сокращен перечень случаев, когда оператор может обрабатывать ПД без уведомления Роскомнадзора о намерении осуществлять обработку персональных данных. В частности, обработка ПД в соответствии с трудовым законодательством и для исполнения договора больше не является исключением и теперь потребует подачи уведомления.

    Таким образом, практически любой оператор ПД, осуществляющий коммерческую деятельность, обязан направить уведомление в Роскомнадзор.

    Кроме того, был изменен перечень информации, которая должна содержаться в уведомлении, и введено требование о предоставлении более детальной информации о процессах обработки ПД.
  • Изменения устанавливают дополнительные критерии к согласию, которое должно быть не только конкретным, информированным и сознательным, но также предметным и однозначным.

    Разъяснения о том, что подразумевается под предметным и однозначным согласием, пока отсутствуют.
  • Предоставление биометрических ПД не может быть обязательным, за исключением установленных в Законе о персональных данных случаях. Если обработка не подпадает под исключения, оператор не имеет права отказать лицу в обслуживании при отказе в предоставлении биометрических данных.
  • Сроки ответов на запросы субъекта о предоставлении информации об обработке ПД и ее прекращении сокращены до десяти рабочих дней с момента обращения субъекта (срок может быть продлен еще на пять рабочих дней).

Таким образом, в той или иной степени нововведения затрагивают почти все аспекты обработки персональных данных.

Рекомендации

Учитывая масштаб принятых изменений, практически каждому российскому оператору ПД необходимо провести оценку текущих процессов обработки ПД и, вероятнее всего, скорректировать их. Кроме того, иностранные операторы с большей вероятностью могут попасть под действие российского законодательства в сфере ПД и будут обязаны соблюдать его в полном объеме.

В свете принятых изменений мы рекомендуем:

  • иностранным операторам – проверить текущие процессы обработки данных российских граждан и оценить применимость российского законодательства;
  • российским операторам – провести аудит текущих процессов обработки ПД и внести соответствующие коррективы, в том числе в политику обработки ПД, процедуры трансграничной передачи, согласия, договоры, предусматривающие поручения на обработку данных, и иные документы и процессы.