В данной статье мы рассмотрим ключевые обновления в нормативно-правовой базе, связанные с обработкой и защитой личных данных.
• Начиная с 1 марта 2023 года, организациям требуется отправлять уведомление о международной пересылке данных в соответствии со статьей 12 от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Теперь закон предоставляет возможность международной передачи данных без обязательной необходимости получения согласия на такие действия.
Однако, необходимо уведомить о них Роскомнадзор, указав цели, основания для пересылки, категории и конкретный список передаваемых данных, а также страны назначения.
До подачи соответствующего уведомления компании следует собрать информацию от зарубежного партнера и оценить его возможности по обеспечению конфиденциальности и защиты передаваемой информации. За оценку ответственен сам оператор, официально метод оценки не установлен.
Что важно сделать: при вступлении в контакты с новым зарубежным контрагентом необходимо запросить у него данные о мерах по защите личной информации (список требований указан в части 5 ст. 12 вышеуказанного закона), проанализировать полученную информацию и только после этого обращаться в Роскомнадзор с уведомлением о планируемой трансграничной передаче.
• С 1 марта 2023 года вводится требование — документальное подтверждение уничтожения данных в соответствии с частью 7 статьи 21 указанного закона.
Для этого оператор должен следовать требованиям, устанавливаемым приказом Роскомнадзора от 28 октября 2022 года № 179.
При уничтожении данных в физической форме должен быть составлен акт, в который включается информация о каждом носителе, причина уничтожения, данные о лице, чьи данные уничтожаются. Удаление информации из электронных баз должно фиксироваться в специальных журналах регистрации и упомянутых актах.
Что важно сделать: наладить процесс документального подтверждения уничтожения данных в каждом отделе организации, что может потребовать принятия соответствующих внутренних регламентов, а также организовать должный учет событий в информационных системах.
• С начала июня 2023 года введено четкое предписание — запрет на обработку биометрических данных.
Согласно новым правилам, организациям и другим лицам запретили использовать биометрические данные людей в своих системах для распознавания личности без подключения к государственной биометрической системе, как это предписывает статья 15 закона № 572-ФЗ, принятого 29.12.2022.
Чтобы иметь право на подключение к этой системе, необходимо получить разрешение от Министерства цифрового развития. К примеру, для организации работы системы безопасности предприятия, которая идентифицирует сотрудников по лицу, теперь нужно проходить аккредитацию. Контрольно-пропускные пункты могут продолжать использовать ручную проверку фотопропусков.
Что важно сделать: либо отказаться от использования систем автоматического распознавания биометрии, либо интегрироваться с государственной биометрической системой.
• C 14 февраля 2023 года предусмотрены внезапные инспекции после утечек данных.
Изменены условия моратория на проведение проверок, теперь возможно осуществление контрольных действий в отношении обработки данных в случаях, когда произошло распространение данных в сети.
Что важно сделать: заранее составить план мероприятий для случая протечки информации, а также подготовиться к проверке, которая последует после обязательного извещения Роскомнадзора о произошедшем инциденте согласно части 3.1 статьи 21 закона «О персональных данных».
• С октября 2023 года вводятся новые правила для интернет-рекомендаций.
Закон № 149-ФЗ от 27.07.2006 в статье 10.2-2 устанавливает положения о применении рекомендательных систем в сети.
Владельцам интернет-сервисов, использующим аналитику действий посетителей (например, для демонстрации персональной рекламы), необходимо разместить уведомление об этом, а также информацию о правилах использования рекомендательных технологий, контактную почту и официальное название компании.
Вопрос о том, относится ли анализ действий пользователей к категории персональных данных, остается открытым. Однако, исходя из общей логики законодательства, этот аспект должен подпадать под действие законов о защите данных.
Что важно сделать: разработать и ввести правила использования рекомендательных систем и обновить веб-сайт, опубликовав указанную информацию.
Возможные нововведения в 2024 году
Выделяют такие инновации, как установление циклических штрафов за нарушения, связанные с утечкой конфиденциальной информации, создание специализированных организаций для обработки персональных данных на стороне и ряд других инициатив.
• Министерство цифрового развития предложило законодательную инициативу о циклических штрафах для организаций, допустивших утечку данных клиентов, с начальным размером штрафа от 5 до 10 миллионов рублей и возможностью увеличения до 3% от годового дохода при повторных нарушениях.
• Роскомнадзор подготовил «Концепцию усиления защиты персональных данных в РФ», предложив основать институт специализированных операторов данных*.
*Под термином специализированный оператор понимается организация, предоставляющая услуги по обработке персональных данных за определенное вознаграждение от имени малых предприятий, которые сами не могут обеспечить соответствие требованиям защиты данных.
Для получения статуса такого оператора компания должна подтвердить соответствие установленным требованиям, включая аккредитацию в Роскомнадзоре, наличие необходимых лицензий от ФСТЭК и ФСБ для работы с криптографическими инструментами, а также располагать адекватной инфраструктурой и технологической базой.
Предполагается, что такие операторы будут полноправно получать разрешение от физических лиц на обработку их данных, неся при этом полную ответственность за их защиту и обработку в соответствии с законодательством.
Кроме того, в концепции упоминается разработка национальных стандартов для обработки и анонимизации персональных данных, с учетом специфики каждого отдельного процесса. Окончательный список стандартных процедур обработки данных предстоит утвердить на уровне правительства.
