Новшества, привнесенные принятым Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“ <…>» (далее — Закон № 266-ФЗ), колоссальны по количеству. Выбрать разновекторный стиль развития нашего законодательства в области персональных данных – где-то мы идем по европейскому пути, а где-то, как с требованиями по трансграничной передаче персональных данных, по более «восточному» пути. То, что сказать уже можно точно, так это то, что нагрузка на российский бизнес в рамках персональных данных вырастет в разы. А теперь кратко об основных изменениях.
Первое важное изменение – сокращение исключений, при которых компании могут не подавать уведомление об обработке персональных данных в Роскомнадзор. Например, раньше юридические лица и индивидуальные предприниматели имели право не направлять сведения в реестр операторов персональных данных, если данные используются только для оформления трудовых отношений. Естественно, этой возможностью пользовались большинство компаний, которые не работают в B2C сегменте.
Сейчас не подавать уведомление организации могут только в трех случаях, и в этих исключениях отсутствует «если данные обрабатываются исключительно в рамках трудовых взаимоотношений». Соответственно, ожидается большой приток операторов персональных данных в реестр Роскомнадзора.
Трансграничная передача персональных данных
Подать уведомление об осуществлении трансграничной передачи персональных данных обязаны все организации до 01.03.2023. В нём нужно указать как, с какой целью и в какие страны они передают персональные данные. Фактически они сообщают о том, с кем и каким образом взаимодействуют в рамках бизнес-процессов.
После 01.03.2023, если у организаций возникает необходимость передачи персональных данных в другие страны, они должны подать отдельное уведомление, предоставив информацию о получателях данных, целях, составе данных и другую информацию. Если в течение двух недель Роскомнадзор никак не отреагирует, то передавать данные можно продолжать и дальше (только в случай передачи на территорию адекватных стран).
Однако он может наложить запрет на передачу данных за рубеж, в этом случае их необходимо уничтожить. Дополнительно придётся предоставить информацию о гарантиях осуществления прав физических лиц на территории иностранного государства, куда персональные данные направляют.
В результате банки, брокеры, страховые компании, туристические фирмы, мобильные операторы и другие компании столкнулись с трудностями, поскольку не могут предугадать, какие данные, каким получателям и в какие страны могут быть переданы, так как это зависит от их клиентов, чьи пути предугадать сложно время. Поэтому как вариант – до 01.03.2023 уведомить Роскомнадзор о максимуме целей, стран и данных для трансграничной передачи, про запас.
Инциденты безопасности
Если в организации произошёл инцидент с безопасностью, повлекший неправомерную передачу персональных данных третьим лицам, компания обязана в течение 24 часов с момента выявления уведомить Роскомнадзор об утечке данных, а также в течение 72 часов о расследовании инцидента.
Минцифры пока ещё обсуждает новый законопроект о штрафах о нарушении правил подачи уведомлений. Ожидается, что при игнорировании требований или подаче недостоверных сведений компании будут вынуждены заплатить до 1% от своего годового оборота за прошлый год – сумма немаленькая.
В случае компьютерных атак и других подобных инцидентов, повлекших утечку персональных данных, необходимо уведомить федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности. Специально для этого в рамках исполнения законодательства о безопасности информационных инфраструктур Российской Федерации (Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации») создана ГосСОПКА – государственная система обнаружения предупреждения и ликвидации последствий атак. Многие организации уже к ней подключены.
Таким образом, в случае утечки персональных данных компании обязаны уведомить не только Роскомнадзор, но и корпоративный центр или ГосСОПКА. Пока неизвестно, каким будет порядок предоставления информации. Ждем.
С учетом изменений по Указу Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», во многих компаниях обязательно должна быть должность заместителя директора по информационной безопасности.
Также у операторов персональных данных появилась обязанность подать уведомление об обработке персональных данных, с подробным указанием сопутствующих сведений:
- С какой целью данные используются?
- Какой у них срок обработки?
- На основании каких законов они обрабатываются?
- Кому и в какие сроки передаются и т.д.
Реестр будет полезен многим компаниям. Например, на его базе можно будет готовить уведомления в Роскомнадзор об утечке персональных данных. Это сэкономит время, поскольку будет всего 24 часа для составления и подачи отчета, тем более это могут быть выходные. Информация должна быть актуальной на данный момент, а без реестра просто не будет времени искать ее и структурировать.
Сроки реагирования на запросы
Изменились сроки реагирования на запросы физических лиц. Теперь на требование по удалению и уничтожению персональных данных компании обязаны отреагировать в течение 10 рабочих дней с возможностью продлить срок на 15 суток. При этом запрос не обязательно должен быть в письменной форме или в электронном виде. Раньше срок составлял 30 календарных дней с момента запроса с возможностью увеличения до 60.
Компании вынуждены научиться выстраивать систему реагирования с целью соблюдения сроков, особенно в случае привлечения для обработки данных третьих лиц. Потому что удалить данные должны не только компании, в которые гражданин обращается, но и подрядчики, которые занимаются обработкой. Таким образом, у компаний появится стимул к оптимизации системы реагирования. Особенно у тех, кто получает больше всех жалоб – это интернет-магазины, ЖКХ, банки и другие.
Удаление персональных данных придётся подтверждать в виде бумажного документа, электронного с ЭЦП или log-файлов. Данные процедуры несут дополнительные трудозатраты, а масштабировать их сложно.
При передаче персональных данных для обработки третьему лицу теперь необходимо указывать их точный перечень. То есть больше нельзя брать любые данные с разрешения оператора, а нужно постоянно перезаключать соглашение, что приводит к увеличению стоимости работ. Зато у крупных операторов с собственным отделом информационной безопасности появилось основание доверять подрядчикам.
Мы рассмотрели основные изменения, но на самом деле их больше. Сейчас компаниям важно перестроить систему реагирования инциденты и схему поручения обработки данных. Дополнительные комментарии Роскомнадзора по вопросам обработки персональных данных должны выйти в сентябре 2022 года.