Баланс данных
Что кроется в деталях обновленного закона «О персональных данных»
Сентябрьская реформа закона о персональных данных (ПД) подвигла компании более внимательно относиться к обороту личной информации клиентов и сотрудников. Как трансформировались отношения субъектов ПД и операторов, каков новый порядок трансграничной передачи данных, как уведомлять Роскомнадзор об утечках информации, при каких условиях фотографии становятся биометрическими ПД и о многом другом, рассказали представители РКН.
МЕРИЛО ВСЕХ ДАННЫХ
По словам заместителя главы Роскомнадзора Милоша Вагнера, поправки в закон «О персональных данных» связаны с ростом значимости цифровых технологий, но прежде всего
в центре законодательства находится человек с его правом на неприкосновенность частной жизни, правом на личную и семейную тайну
В законе закреплен принцип экстерриториальности требований к обработке ПД россиян. Это означает, что теперь требования закона распространяются на иностранные компании, которые аккумулируют личную информацию граждан РФ, подчеркнул он на вебинаре РКН. Сходные требования есть и в европейском законодательстве.
При этом российские компании в отношениях с зарубежными партнерами должны исходить из новых условий закона о ПД, обратил внимание представитель РКН.
Сентябрьские изменения призваны восстановить баланс между оператором ПД и владельцем этой информации. Поэтому введены новые требования к согласию на обработку ПД. Также введены ограничения на обработку биометрических данных.
Милош Вагнер, Роскомнадзор:
– Это сделано для предотвращения ситуаций, когда человек, находящийся в зависимом положении перед оператором ПД, вынужден дать «отмашку» на обработку сведений о себе. В таких «согласиях» не соблюдается ни принцип добровольности, ни информированности, а только учитываются интересы оператора.
Сейчас готовится проект федерального закона, увеличивающий ответственность за утечки и нарушения конфиденциальности доверенных операторам ПД. Размеры денежных штрафов за подобные инциденты будут зависеть от выручки всей компании за год. При разборе дел об инцидентах с личной информацией граждан будет учитываться все, в том числе и факт своевременного уведомления РКН об утечке, подчеркнул представитель ведомства.
БОЛЬШИЕ ПЕРЕМЕНЫ
Итак, изменения, вступившие в силу 1 сентября, разделяются на два больших направления:
Для граждан – субъектов ПД, касающиеся:
- заключения договоров между субъектами данных и операторами;
- сбора и обработки биометрической информации;
- срока ответа оператора по запросу гражданина.
Для операторов, включающие:
- уведомление об обработке, направляемое в Роскомнадзор;
- уведомление РКН об инциденте, связанном с ПД, – новая норма;
- трансграничную передачу.
Ранее, до вступления в силу нововведений, уже на этапе заключения договора оператор мог не предоставить человеку возможность отказа от условий обработки сведений о нем, которые напрямую не связаны с предметом договора, обратила внимание начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора Екатерина Ефимова на вебинаре РКН.
Часто клиент компании или пользователь онлайн-сервиса был даже не вправе отказаться от рассылок рекламы, так как не мог отозвать свое согласие на обработку данных. Добиться этого можно было только через суд.
Екатерина Ефимова, Роскомнадзор:
– Также операторы обрабатывали избыточные ПД при заключении договора. Часто собранные данные передавались контрагентам и партнерам оператора ПД.
Особое внимание в обновленном законодательстве уделено биометрической информации о человеке.
Теперь на уровне закона закреплено право субъекта ПД не предоставлять свои биометрические данные в рамках оказания услуг
Кроме того, РКН теперь обращает особое внимание на программное обеспечение, которое используется для обработки биометрии в учебных заведениях.
Сейчас самое время вернуться к оперативности, поэтому срок ответа оператора гражданину сократился с 30 до 10 рабочих дней. Этот срок будет приемлемым для операторов и субъектов ПД, подчеркнула Екатерина Ефимова.
Изменения, вступившие в силу 1 сентября 2022 года, коснулись и трансграничной передачи ПД. До 1 марта 2023 года операторы, которые уже занимаются трансграничной передачей сведений, должны уведомить Роскомнадзор. Если оператор не успел информировать ведомство до этого срока, нужно будет уведомить о намерении передавать личную информацию за границу уже по новой процедуре.
ВОПРОС-ОТВЕТ
Начальник управления по защите прав субъектов персональных данных ведомства Юрий Контемиров в ходе вебинара ответил на актуальные вопросы, интересующие операторов ПД.
По его словам, любая организация, осуществляющая обработку персональных данных, является оператором ПД вне зависимости от того, находится она в составляемом Роскомнадзором реестре операторов, осуществляющих обработку персональных данных, или нет. Ключевым фактором является непосредственно деятельность по обработке данных, подчеркнул Юрий Контемиров.
Он обратил внимание, что
перечень случаев, при которых нужно будет подавать уведомления об обработке ПД, сейчас расширен
Юрий Контемиров, Роскомнадзор:
– Если ранее компания осуществляла свою деятельность по основаниям, которые были исключены (трудовые, договорные отношения), в этом случае нужно будет подавать уведомления об обработке ПД. Подать его можно с помощью электронной формы, которая реализована на портале персональных данных Роскомнадзора, или отправить в адрес территориального управления РКН, где зарегистрирована ваша организация, в бумажном виде.
Если компания, работающая на территории РФ, является представительством зарубежной организации, то передача ПД ее сотрудников в адрес головного офиса, находящегося на территории иностранного государства, подпадает под определение трансграничной. В этом случае предусматривается необходимость уведомления Роскомнадзора об осуществлении указанной деятельности, разъяснил Юрий Контемиров.
Изменения в 152-ФЗ направлены на повышение информированности граждан, которые предоставляют администрации онлайн-сервиса свои ПД. Поэтому в закон было введено требование, согласно которому
оператор обязан размещать информацию о политике по обработке данных или ссылки на соответствующие акты на каждой интернет-странице, где предполагается сбор ПД
Это ключевое условие информирования граждан об обработке информации о них, отметил Юрий Контемиров.
Период действия согласия на обработку ПД должен быть ограничен отдельным конкретным сроком или должно быть заложено условие прекращения действия этого согласия.
Виды согласий на обработку ПД, которые кадровые службы компаний собирают с работников, не связанные с трудовым кодексом, действуют до момента прекращения трудовых отношений, сообщил представитель РКН.
Также существует ряд ГОСТов, относящих фотографии к биометрическим данным с учетом определенного разрешения. Кроме того, фотографии относятся к биометрическим данным, если это прямо предусмотрено в законодательстве.
В целом этот закон требует, чтобы операторы ПД стремились повышать свою прозрачность по отношению к субъектам ПД и государственным структурам, подчеркнул Милош Вагнер. Он призвал компании соблюдать не только букву закона, но и его дух.
Тимур Халудоров
