Федеральный закон № 152-ФЗ «О персональных данных» был принят 27 июля 2006 года, и с тех пор претерпел не мало изменений. Однако жизнь не стоит на месте, и активное развитие цифровых технологий, новшества в технологическом укладе общества, а также практика применения законодательства, потребовали от законодателя внесения новых, пожалуй, самых существенных изменений в указанный закон.
Такие изменения были внесены Федеральным законом № 266-ФЗ от 14 июля 2022 года, часть из них вступила в силу с 1 сентября 2022 года, остальные положения вступят в силу с 1 марта 2023 года. В развитие изменений был также принят ряд нормативных актов Роскомнадзора.
Основные положения новелл законодательства, на которые операторам персональных данных важно обратить внимание, рассмотрены ниже.
Закон не имеет границ
Новой нормой (ч. 1.1. ст. 1), дополнившей Федеральный закон № 152-ФЗ, закреплен принцип экстерриториальности применения указанного закона. Теперь его требования должны соблюдаться иностранными операторами в случаях, когда они обрабатывают персональные данные наших граждан на основании договора, иных соглашений либо на основании согласия гражданина Российской Федерации на их обработку. Интересно, что данная новелла схожа с аналогичными требованиями европейского законодательства.
Несмотря на то, что формально новая норма регулирует положение иностранных операторов, ее введение также может косвенно повлиять и на деятельность российских. Ведь теперь компаниям при построении отношений с зарубежными партнерами необходимо будет исходить из новых условий, в частности, принимать меры, чтобы их контрагенты заранее понимали, что обязаны соблюдать требования российского законодательства, когда обрабатывают персональные данные российских граждан.
За персональными данными стоит человек
Существенный блок изменений, внесенных Федеральным законом № 266-ФЗ от 14 июля 2022 года, направлен на то, чтобы восстановить баланс интересов оператора и гражданина, чьи персональные данные данные обрабатываются.
На вебинаре, посвященном новым требованиям российского законодательства, представители Роскомнадзора отметили, что изменения были внесены, в том числе, с целью снизить число случаев, когда человек, находящийся в заведомо зависимом положении от операторов, вынужден давать «отмашку» на обработку информации о себе, и зачастую такое «согласие» не является ни добровольным ни информированным.
По мнению представителей Роскомнадзора, теперь ситуация, когда интересы гражданина, предоставляющего свои персональные данные, подменялись интересами оператора, будет меняться.
Достичь указанных целей должны следующие изменения закона:
Новые требования к содержанию договоров
Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы их субъекта. Также запрещены условия, допускающие в качестве условия заключения договора бездействие гражданина. Иными словами, согласие на их обработку теперь не может предполагаться «по умолчанию» (например, в случаях, когда человек, переходя на какую-либо страницу веб-сайта считается автоматически давшим такое согласие). (п. 5 ч. 1 ст. 6 152-ФЗ).
Операторам следует учитывать данные изменения при заключении новых договоров, а также рекомендуется провести внутренний анализ ранее заключенных договоров с целью исключения применения условий, вступивших в противоречие с новыми положениями закона.
Также нельзя забывать о действующем запрете на отказ в заключении договора с потребителем в случае, когда предоставление персональных данных не требуется по закону и не являются необходимыми для исполнения договора, и потребитель не желает такие данные предоставлять. Запрет установлен Федеральным законом О защите прав потребителей № 2300-1 от 07.02.1992, а за его несоблюдение в КоАП РФ недавно введены новые административные штрафы, размер которых может доходить до 10 тысяч рублей для должностных лиц и до 50 тысяч рублей для юридических лиц.
Запрет понуждения к сдаче биометрии
Отныне предоставление биометрических данных не может быть обязательным, а оператор не вправе отказывать в обслуживании в случае несогласия субъекта предоставить биометрические персональные данные и (или) дать согласие на их обработку за исключением случаев, предусмотренных законом (новая ч. 3 ст. 11 152-ФЗ).
Новый запрет может затронуть самые разные сферы жизни граждан. Например, при заключении договора с фитнес-клубом гражданин теперь может отказаться от предоставления отпечатка пальца или своего фотоизображения, которые часто используются для автоматизации прохода в клуб. Такой отказ не должен привести к невозможности заключения договора, в связи с чем фитнес-клубу как оператору необходимо будет найти иные способы взаимодействия с клиентом для обеспечения его прохода в клуб.
Сокращен срок ответа оператора гражданину
Срок ответа оператора на обращения гражданина сократился с 30 дней до 10 рабочих дней. Такой короткий срок позволит гражданам оперативно принимать меры реагирования в случае нарушения их законных прав и интересов. Так же быстро оператор обязан будет отвечать и Роскомнадзору.
Особое внимание к случаям утечек
У операторов появилась новая обязанность информировать Роскомнадзор об инцидентах с персональными данными, а именно, о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав их субъектов (п. 3.1. ст. 21 152-ФЗ). Для этого был запущен специальный сервис Роскомнадзора.
Действовать операторам придется оперативно, так как уведомление о произошедшем инциденте должно быть направлено в течение двадцати четырех часов с момента его выявления.
При этом уведомление должно содержать не только указание на сам факт утечки, но и сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном их правам, о принятых мерах по устранению последствий соответствующего инцидента, и др.
Кроме того, в течение семидесяти двух часов оператор должен уведомить Роскомнадзор о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
В свете планируемого увеличения административной ответственности за инциденты с персональными данными, операторам данных следует внимательнее относится к их защите, стремиться предотвратить утечки, а не только реагировать на уже произошедшие факты нарушений.
Изменения в порядке уведомления об обработке персональных данных
В новой редакции Федерального закона № 152-ФЗ существенно сокращен перечень случаев, когда операторам не требуется уведомлять Роскомнадзор о намерении приступить к обработке персональных данных. Исключение действует только в двух случаях:
- в отношении данных, включенных в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- в ситуации, когда оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации.
Также Роскомнадзором уже опубликованы проекты новых форм уведомлений о намерении обрабатывать персональные данные, о внесении изменений в ранее предоставленные сведения и о прекращении их обработки.
Новые требования к политике обработки персональных данных
Политика оператора в отношении обработки персональных данных компании, а также иные локальные акты по вопросам их обработки теперь должны содержать новые положения для каждой цели (категории и перечень обрабатываемых данных; категории субъектов, данные которых обрабатываются; способы, сроки их обработки и хранения; порядок их уничтожения при достижении целей обработки).
Необходимо также обратить внимание на изменения в правила публикации Политики, а именно на требование ее публикации на всех страницах сайта, где осуществляется сбор данных.
Уточнение порядка трансграничной передачи данных
В связи с внесенными изменениями в Федерального закона № 152-ФЗ Роскомнадзором уже реализован сервис по направлению уведомления об осуществлении трансграничной передачи персональных данных по установленной форме.
Операторы, которые осуществляли трансграничную передачу до дня вступления в силу Федерального закона № 266-ФЗ и продолжают осуществлять такую передачу после дня его вступления в силу, обязаны не позднее 1 марта 2023 года направить в уполномоченный орган по защите прав субъектов персональных данных уведомления об осуществлении их трансграничной передачи. (ч. 5 ст. 6 266-ФЗ).
Далее с 1 марта 2023 года операторы обязаны сообщать о намерении осуществлять трансграничную передачу.
Также с 1 марта 2023 года планируется вступление в силу трех проектов Постановлений Правительства РФ, касающихся трансграничной передачи персональных данных (регулирующих порядок принятия решений о запрещении или об ограничении такой передачи как Роскомнадзором, так и иными уполномоченными органами, а также предусматривающих случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона 152-ФЗ.
Что делать операторам
Во избежание нарушений операторами внесенных изменений в законодательство и новых подзаконных актов Роскомнадзора, необходимо провести ряд мероприятий, в частности:
- Проверить, зарегистрировано ли ваше юридическое лицо в реестре Роскомнадзора на сайте ведомства, и если нет – зарегистрироваться.
- Провести внутренний анализ и корректировку действующих договоров с клиентами, а также шаблонов типовых договоров.
- Дополнить новыми положениями политику конфиденциальности и иные внутренние нормативные акты.
- Актуализировать шаблоны согласий на обработку персональных данных, обеспечив, чтобы их тексты были не только конкретными, информированными и сознательными, то также предметными и однозначными.
- Составить и утвердить положение о защите персональных данных, если такое положение отсутствует в компании.
- Адаптировать свои системы к новым требованиям в части подтверждения уничтожения данных (приказ Роскомнадзора «Об утверждении требований к подтверждению уничтожения персональных данных», который вступит в силу с 1 марта 2023).
- Провести оценку вреда в соответствии с новыми требованиями РКН (проект от 25 августа 2022 года приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (планируется вступление в силу 1 марта 2023 года).
Залогом успеха в соблюдении операторами законодательства, включая изменения 2022 года, является не просто формальное соблюдение буквы закона. Не стоит забывать о том, что целью законодателя, в первую очередь, является соблюдение прав и свобод российских граждан, передающих свои персональные данные операторам, что может быть достигнуто совместными усилиями всех участников соответствующих правоотношений.
Марина Материк