Электронный журнал «Корпоративный юрист»
Новости с law.ru
ещё
свернуть
Все статьи номера
9
Сентябрь 2022года
Работа
Изменения

Проведите ревизию работы с персональными данными: дорожная карта изменений

Наталья Ковалева

Трансграничная передача персональных данных теперь окажется под пристальным контролем Роскомнадзора: о каждом случае такого процесса необходимо заранее уведомить регулятора, а в некоторых ситуациях получить разрешение от ведомства. Обо всех инцидентах, из-за которых произошла утечка данных, придется также сообщать в РКН. В этом же направлении следует наладить взаимодействие с ГосСОПКой. О том, что это за система и для чего законодатель прописал такие требования, разберем в статье. Есть и другие изменения, которые связаны с обработкой персональных данных. Все они в Федеральном законе от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“».

Вопросов о том, как исполнять новые требования законодателя, пока много, но уже сейчас каждая компания может превентивно подготовиться к изменениям и скорректировать собственную практику обработки и защиты персональных данных. Прежде всего, проанализируйте бизнес-процессы компании, связанные с обработкой персональных данных, а также локальные акты и документы на предмет их соответствия и взаимосвязи с положениями законодательства.

На текущий момент нет подзаконных нормативных актов с разъяснениями процедурных вопросов исполнения ряда законодательных новшеств. По этой причине непонятно, как реализовывать многие нормы закона, где законодатель указал следовать требованиям регулятора. Такие документы ведомства не успели издать, поскольку поправки Госдума начала рассматривать в апреле, а уже в июле Президент их подписал.

Существенные изменения в части обработки персональных данных вступят в силу с 1 сентября 2022 года, а для трансграничной передачи данных — с 1 марта 2023 года. В целом изменений достаточно много, но в статье разберем лишь те, на которые бизнесу нужно обратить особое внимание ввиду сложности их исполнения.

УНИЧТОЖАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ НУЖНО ПО ПРАВИЛАМ

После того как закончится срок хранения персональных данных, оператор должен их уничтожить. Требование к процедуре подтверждения фактов уничтожения персональных данных издаст Роскомнадзор. Норма вступает в силу 1 сентября 2022 года. Пока документа нет. Раньше оператор мог делать это по своему усмотрению.

Передать данные за границу можно, если разрешит РКН

С 1 марта 2023 года начнут действовать два новых режима трансграничной передачи данных: уведомительный и разрешительный. Зависит режим от того, в какие страны планируется передача сведений. Для применения уведомительного режима необходимо осуществлять передачу данных только в страны, которые обеспечивают адекватную защиту. Это страны, которые присоединились к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 № 108. Также список таких стран указал Роскомнадзор в приказе от 14.09.2021 № 183. Взаимодействие со странами, которые не обеспечивают адекватную защиту данных, должно происходить через разрешительный режим.

Как повлияет на бизнес-процессы. Если страна получателя персональных данных является «адекватной», то для легализации трансграничной передачи необходимо подать уведомление в Роскомнадзор. Если нет, следует получить разрешение от ведомства. Письменное согласие от субъекта при этом не нужно, хотя раньше его было достаточно, чтобы передать данные за границу.

Если страна получателя персональных данных не обеспечивает адекватную защиту, то необходимо дождаться решения от регулятора. Рассматривать уведомление РКН может 10 рабочих дней. Передавать данные без разрешения ведомства запрещено. Вместе с тем Роскомнадзор вправе запретить или ограничить трансграничную передачу данных и для стран, которые обеспечивают адекватную защиту. Если РКН запретил передавать данные в страну с адекватной защитой, а компания их уже передала, то должна обеспечить их уничтожение на стороне получателя.

Сотрудник компании, который отвечает за организацию обработки персональных данных, должен организовать процесс формирования и подачи соответствующих уведомлений. Оформлять их нужно на каждый бизнес-процесс, где происходит трансграничная передача данных. При этом указать правовое основание и цель такой передачи. Еще пропишите в нем категории и перечень данных, категории субъектов, а также список стран, которые получат сведения. Помимо этого, понадобятся сведения о российском операторе и принимающей стороне — наименование компании и контактные данные. Кроме того, нужно добавить информацию о мерах по защите персональных данных, которые передаете, и об условиях прекращения их обработки. Нужно описать и правовое регулирование в области персональных данных иностранного государства, под чьей юрисдикцией находится получатель.

Данные об иностранном получателе нужно не просто задекларировать, их нужно документально подтвердить. У регулятора есть право оценить достоверность сведений и запросить у российского оператора документы, которые подтвердят представленные в уведомлении сведения.

К чему приготовиться. Все процессы, которые связаны с трансграничной передачей персональных данных, нужно пересмотреть. Если получится, то лучше их минимизировать, особенно в страны, для которых действует разрешительный режим.

Если от передачи данных за границу отказаться невозможно, то понадобится дополнительный локальный акт. Создайте положение с правилами о том, как компания получает и документирует сведения об иностранном получателе персональных данных. Пропишите еще то, как компания оценивает меры по защите данных иностранного получателя, а также условия прекращения их обработки.

Разработайте стандартизированные положения для договоров с механизмом уничтожения персональных данных зарубежными получателями, в случае если РКН запретит или ограничит трансграничную передачу данных. Это может быть декларативная обязанность получателя данных уничтожить их по вашему требованию и представить доказательства исполнения такого поручения.

ЗАКОНОДАТЕЛЬ ОПРЕДЕЛИЛ ПЕРЕЧЕНЬ ДОКУМЕНТОВ

Первый важный документ — это политика в отношении обработки персональных данных. Опубликовать документ нужно не просто на сайте, а на каждой его странице, где оператор собирает персональные данные. Еще понадобится Перечень персональных данных, которые компания собирает. В нем надо указать субъектов и категории данных, а также цели, способы, сроки их обработки и хранения. Кроме того, проработайте порядок уничтожения персональных данных и создайте локальные акты о том, как будете предотвращать и выявлять нарушения, а также устранять их последствия (ст. 18.1 Закона о персональных данных).

Об инциденте необходимо сообщить в РКН в течение суток

С 1 сентября 2022 года у операторов персональных данных появится новая обязанность — информировать Роскомнадзор об инцидентах. Делать это нужно в течение 24 часов. Отсчет будет идти с момента, когда инцидент обнаружил оператор, регулятор или иное заинтересованное лицо. Достаточно даже подозрения о том, что инцидент произошел.

Информировать РКН об инциденте обязан исключительно оператор. Кроме того, оператор в течение 72 часов должен провести внутреннее расследование и представить регулятору сведения о виновных лицах, если их установит. Извещать субъектов персональных данных об инцидентах не нужно (ст. 21 Закона о персональных данных).

Как повлияет на бизнес-процессы. Законодатель дал определение инциденту. Однако из формулировок неясно, нарушение прав субъектов должно быть фактическим или потенциальным. Например, работник компании случайно направил письмо неуполномоченному получателю. Данные раскрыты, но вред субъекту не наступил. Потенциальные риски сохраняются, так как компания утратила контроль над данными, но интересны ли будут такие случаи регулятору — пока неясно.

К чему приготовиться. Разработайте локальную процедуру управления инцидентами с персональными данными. Проведите работу с контрагентами — обработчиками персональных данных и внесите в договоры положения о необходимости незамедлительно информировать оператора об инцидентах. Например, в случае выявления несанкционированного доступа к обрабатываемым данным информировать оператора в течение 12 часов с момента обнаружения. Это важно, так как к ответственности привлекут именно оператора персональных данных, а не обработчика.

Взаимодействовать с ГосСОПКой придется постоянно

С 1 сентября 2022 года у оператора появится обязанность на постоянной основе взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Сокращенно — ГосСОПКа. Порядок взаимодействия определит ФСБ, но пока документа нет (ст. 19 Закона о персональных данных).

Как повлияет на бизнес-процессы. Норма о взаимодействии с ГосСОПКой весьма противоречива. В ней, например, речь идет о «компьютерных инцидентах», определение которых есть только в Федеральном законе от 26.07.2017 № 187. Получается, если в компании нет объектов критической инфраструктуры, то и компьютерный инцидент невозможен по определению. Вместе с тем с ГосСОПКой обязаны взаимодействовать все операторы.

К чему приготовиться. Есть надежда, что ФСБ развеет неопределенность, когда издаст документ с разъяснениями. После чего компании смогут разработать собственные локальные акты. Возможно, устанавливать дополнительное оборудование не понадобится, и компаниям достаточно будет телефона и электронной почты для связи с системой.

О любых изменениях нужно сообщать до 15-го числа месяца

Как только компания начинает обрабатывать персональные данные, она должна уведомить об этом Роскомнадзор, поскольку автоматически становится оператором персональных данных. Если этого не сделать, компанию оштрафует регулятор. Есть организации, которые вправе не сообщать в РКН о том, что начали обрабатывать персональные данные. Исключения были и раньше, но в новых нормах закона их стало меньше. Было девять — стало три (ст. 22 Закона о персональных данных).

Как повлияет на бизнес-процессы. Воспользоваться исключениями из правил многие коммерческие компания не могли и раньше. Правом не уведомлять РКН, как правило, пользовались коллегии адвокатов или некоммерческие организации, например профсоюзы. Такие компании обрабатывали персональные данные исключительно своих членов или работников. Теперь и им придется уведомлять Роскомнадзор об обработке.

К чему приготовиться. Если в компании произошли изменения и поменялись сведения, которые ранее оператор направлял в Роскомнадзор, необходимо об этом сообщить до 15-го числа месяца, следующего за месяцем изменений.

Согласия на обработку должны быть предметными и однозначными

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Законодатель добавил в норму закона слова «предметным» и «однозначным» (ст. 9 Закона о персональных данных).

Как повлияет на бизнес-процессы. Критерий предметности можно рассматривать как запрет на практику сбора согласий с объединенными, но не связанными между собой целями. Новый критерий согласия — «однозначность» обозначает, что субъект должен выразить свою волю на обработку данных в определенных целях. Сделать это он может в любой форме, которая позволяет подтвердить факт волеизъявления. Молчаливое бездействие субъекта не означает, что он согласился на обработку его данных (ст. 10 Закона о персональных данных).

К чему приготовиться. Формы согласий на обработку придется пересмотреть. Кроме того, если компания поручает обработку персональных данных третьему лицу — обработчику, то необходимо переработать формулировки договора на обработку персональных данных. Чтобы вы имели возможность вовремя уведомить РКН об инциденте с персональными данными, обяжите своего контрагента незамедлительно сообщать вам о фактах утечек обрабатываемых данных, которые ему стали известны (ст. 6 Закона о персональных данных).

Практика покажет, насколько новые реалии работы с персональными данными помогут справиться с текущими проблемами. Каждой компании понадобится пересмотреть практически все документы и процессы, которые связаны с обработкой и защитой персональных данных. Фактор неопределенности не означает, что делать ничего не нужно. Наоборот, предупрежден — значит, есть возможность подготовиться к неизбежным изменениям.

Компании не смогут действовать на свое усмотрение
Придется использовать методичку РКН

Оператор персональных данных не может взять на себя дополнительные обязанности, если их не предусмотрел законодатель. Например, если оператор не обязан уведомлять субъекта об утечке его персональных данных, то и в собственных локальных актах закреплять за собой такую обязанность нельзя. Даже из самых благих побуждений.

Еще один пример — это оценка рисков в области приватности. Многие компании проводили такую процедуру, чтобы определить и минимизировать возможные проблемы на этапе запуска нового продукта или услуги.

Как правило, оценку рисков компании проводили на основе риск-ориентированного подхода с учетом сложившихся лучших практик. С 1 марта 2023 года для такой активности придется использовать методичку от Роскомнадзора. На сегодняшний день документа пока нет.

Читайте также:
• Дробление бизнеса. Что нужно знать, чтобы избежать проблем с налоговой
• Компания перешла на электронный документооборот. Топ-5 ошибок работодателей
• Репутация компании в сети. Инструкция защиты в деле о признании информации недостоверной

Содержание
Полезное
Микрообучение
Номера
Издания
Тест  0  / 0
Самое авторитетное юридическое издание в России по корпоративному праву
О журнале
Архив номеров с января 2015 года и быстрый поиск
Способы подписки
Подпишитесь на сайте или в вашем городе
Подписаться
Ознакомительный номер
Все материалы номера открыты
для просмотра без регистрации
Читать
Сайт использует файлы cookie, что позволяет получать информацию о вас. Это нужно, чтобы улучшать сайт. Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookie и предоставления их сторонним партнерам.