С 1 сентября вступают в силу новые требования к обработке персональных данных. Поправки не только предусматривают новые обязанности и запреты для операторов данных, но и сокращают сроки для ответов на запросы Роскомнадзора и граждан. Компаниям стоит проверить, что изменить в работе вашей компании с персональными данными, чтобы не получить штрафы при проверке.
Что изменилось в обработке данных несовершеннолетних
Новый закон запрещает включать в договор с субъектом персональных данных три вида условий. Речь о положениях, которые ограничивают права и свободы субъекта, допускают в качестве условия заключения договора бездействие субъекта, а также устанавливают случаи обработки данных несовершеннолетних.
Если первые два вида положений — не новые, то третий дополнительно ограничивает компании. Скорее всего, Роскомнадзор будет толковать его расширительно: персональные данные несовершеннолетних нельзя обрабатывать на основании договора, если иное прямо не указано в законе.
Владельцы цифровых платформ больше не смогут ссылаться на то, что несовершеннолетний принял все правила пользования ресурса, а значит, дал основание для обработки. Многим сервисам придется переоценить свои риски и пересмотреть подход к обработке данных. При этом важно, что предоставление согласия на обработку — односторонняя сделка. Следовательно, требования к форме согласия будут отличаться для разных возрастных групп.
Что проверить в согласии на обработку данных
Появились дополнительные критерии, которым должно соответствовать согласие на обработку персональных данных. Теперь оно должно быть не только конкретным, информированным и сознательным, а еще и предметным и однозначным.
Однако Роскомнадзор уже давно указывает на то, что субъект данных должен выразить согласие однозначным действием. Поэтому поправка лишь закрепляет подход, который есть в практике.
Еще один подход, который уже давно выработала практика, но который теперь есть в законе: запрет отказывать в услуге из-за того, что гражданин не предоставил биометрические данные или согласие на их обработку. Предоставление биометрических персональных данных не может быть обязательным.
Какие требования теперь есть к поручению на обработку данных
Теперь в поручении оператора на обработку данных должен быть перечень персональных данных.
Операторам придется выбирать: указывать широкие общие или четкие узкие категории данных. Каждый из вариантов несет свой риск. Так, в первом случае есть вероятность, что практика не будет толковать категории так же широко, как оператор и обработчик данных. Но если выбрать наиболее детальные категории, поручение вероятно придется часто редактировать, поскольку объем данных может меняться.
В поручение оператора на обработку персональных данных необходимо включать и обязанности обработчика: во-первых, соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, во-вторых, предоставлять по запросу оператора в течение срока действия поручения информацию, подтверждающую принятие мер и соблюдение установленных требований, в-третьих, информировать Роскомнадзор об инцидентах. Кроме того, теперь, если оператор поручает обработку иностранному лицу, ответственность за его действия перед субъектом данных будут нести и оператор, и обработчик. Такая поправка повысит внимание Роскомнадзора к иностранным компаниям.
В какие сроки оператор данных должен отвечать на запросы
Сократили сроки, в которые оператор обязан отреагировать на обращение, — теперь у него есть на это 10 рабочих, а не 30 календарных дней.
Это касается ответов на запросы как субъекта данных, так и Роскомнадзора. По мотивированному уведомлению оператора срок можно продлить не более чем на 5 рабочих дней.
Кроме того, теперь в течение 10 рабочих дней оператор обязан прекратить обработку, если этого потребовал субъект данных. Срок течет со дня, когда оператор получил требование.
Но из этого положения есть два исключения.
Первое: данные обрабатываются не на основании согласия, а на ином законном основании.
Второе: обрабатываются специальные категории персональных данных.
Какие новые сведения придется раскрывать субъекту данных по его запросу
Теперь компании по запросу субъекта обязаны раскрывать субъекту персональных данных описание правовых, организационных и технических мер по обеспечению безопасности персональных данных.
Такая информация обычно довольно чувствительна для компаний. Подобные запросы могут вызвать много вопросов у сотрудников, которые отвечают за обработку данных. Если не предоставить субъекту данных эту информацию, компанию оштрафуют на сумму до 80 тыс. руб.КоАП
Что включить в политику обработки персональных данных
Закон детализировал требования к политике обработки персональных данных. Рекомендуем проверить, соответствуют ли документы вашей компании новым правилам. Если нет, следует внести изменения. Ранее закон строго не регламентировал содержание политики, были только рекомендации Роскомнадзора. Теперь политика должна содержать категории и перечень персональных данных, категории субъектов, способы обработки, сроки обработки и хранения, порядок уничтожения данных. Все эти аспекты необходимо определять для каждой цели обработки отдельно.
Новый закон также конкретизирует требования к публикации политики. Оператор, который собирает данные в интернете, обязан опубликовать политику на страницах, на которых происходит сбор персональных данных.
Какие сведения включать в уведомление об обработке персональных данных
Новые нормы зафиксировали установившийся подход Роскомнадзора к содержанию уведомления об обработке персональных данных. В уведомлении оператор должен для каждой цели обработки отдельно указать категории персональных данных, категории субъектов, правовое основание обработки, перечень действий с персональными данными и способы обработки персональных данных. Кроме того, сократили перечень случаев, когда оператор вправе обрабатывать данные без уведомления Роскомнадзора. Практика и ранее толковала эти исключения крайне узко, подпасть под них было практически невозможно.
Об обработке данных сотрудников компании теперь придется уведомлять РКН. Какие еще исключения убрали из Закона о персональных данных
Уведомлять Роскомнадзор о намерении обрабатывать персональные данные придется чаще.
Из Закона о персональных данных № 152-ФЗ убрали почти все исключения, когда можно было не сообщать об обработке чиновникам.
Теперь надо уведомить РКН, если работаете с данными сотрудников, клиентов, когда это нужно для заключения и исполнения договоров, физлиц, которые разрешили их распространять, а также физлиц — в части Ф. И. О. и для однократного пропуска на территорию или в аналогичных целях.
Исключений, когда можно обрабатывать данные без уведомления, оставили всего три.
Это возможно, если:
- данные включены в госсистемы персональных данных в целях защиты безопасности государства и общественного порядка;
- оператор обрабатывает такие данные исключительно без средств автоматизации;
- данные обрабатывают в целях транспортной безопасности в случаях, которые предусматривает специальное законодательство.
Если ранее уже уведомляли РКН об обработке данных, но не указали случаи, которые до 1 сентября подпадали под исключения, советуем направить в ведомство информационное письмо. В нем укажите, что вносите изменения в сведения об операторе и перечислите все случаи обработки персональных данных.
Источник: ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Как и когда необходимо информировать Роскомнадзор об утечке данных
У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных.
В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.
Конкретные требования закон установил к тому, как уведомлять госорганы о неправомерной или случайной передаче персональных данных. Оператор, если выявил такой факт, обязан в течение 24 часов уведомить Роскомнадзор об инциденте.
В таком уведомлении необходимо указать предполагаемые причины и вред, перечислить, какие меры приняла компания, чтобы устранить последствия. Также следует предоставить сведения о лице, которое будет взаимодействовать с Роскомнадзором.
В течение 72 часов с момента, когда выявили инцидент, оператор должен уведомить Роскомнадзор о результатах внутреннего расследования, а также предоставить сведения о лицах, чьи действия стали причиной инцидента.
Требование информировать госорганы об утечке персональных данных — новелла для российского законодательства.
Однако похожие требования уже есть в законодательстве об объектах критической информационной инфраструктуры.
КоАП предусматривает штраф до 500 тыс. руб. для субъектов КИИ, если они не проинформируют об инцидентах.
Поэтому есть вероятность, что для операторов персональных данных тоже введут повышенный штраф.
Однако пока что оператора, который не уведомит чиновников об утечке, можно оштрафовать до 5 тыс. руб. по общей норме Ко АП о непередаче сведений госорганам.
На кого теперь распространяется Закон о персональных данных
Новый закон лишает многие иностранные компании возможности использовать довод о том, что их деятельность не направлена на Россию, чтобы избежать применения норм российского законодательства. Так, закон прямо указывает на то, что положения закона о персональных данных применяются к обработке данных граждан России, осуществляемой иностранными лицами на основании: договора, стороной которого являются граждане России, иных соглашений между иностранными лицами и гражданами России, согласия гражданина России на обработку.
При этом неясно, на основании права какой страны будут определять сами основания обработки данных. Так, в Европейском союзе часто используют такое основание, как legal interest — законный интерес. Следовательно, обработка европейской компанией персональных данных граждан России на этом основании может не подпадать под российские требования.
Однако российская практика толкует многие основания обработки крайне узко. Это касается, в частности, и законных интересов оператора. Следовательно, если руководствоваться исключительно нормами российского права, под действие российского закона подпадут практически все случаи обработки персональных данных граждан России иностранными компаниями. Действие некоторых российских норм о персональных данных распространяется на многие иностранные компании и сейчас.
Например, требования о локализации данных распространяются на иностранные компании без физического присутствия в России, если они направляют свою деятельность на ее территорию. Минкомсвязь выделяло критерии, как определить направленность действия. Однако представители Роскомнадзора подчеркивали: эти критерии не исключительны. То есть риск того, что иностранный обработчик данных граждан России может подпадать под требования российского законодательства, существовал всегда.
Как осуществлять трансграничную передачу данных
Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года.
Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных. Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.
Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях. Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать».
Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.
Помощь эксперта
Меня зовут Сергей Воробьев, эксперт по защите данных.
Воробьев Сергей, эксперт по защите данных
Защищаю ценную для Вас информацию и инфраструктуру:
- защита информации, содержащейся в информационных системах;
- прохождение проверок Роскомнадзора;
- приведение обработки персональных данных в соответствие с требованиями законодательства 152-ФЗ;
- экспертный аудит по информационной безопасности с выдачей практических рекомендаций;
- техническая поддержка информационных систем;
- анализ уязвимостей и тестирование на проникновение;
- выполнение требований 187-ФЗ;
- улучшение веб-безопасности.