Все на защиту персональных данных

Как бизнес будет внедрять правила обновленного 152-ФЗ

Закону «О персональных данных» сегодня, 27 июля, исполнилось 16 лет. Для усиления защиты прав граждан на неприкосновенность частной жизни в июле этого года в него были внесены изменения. Как на фоне растущего количества утечек коммерческие организации будут обрабатывать и передавать персональные данные и почему в компаниях должны появиться лица, отвечающие за их защиту, – в материале RSpectr.

МЫ БУДЕМ ЖИТЬ ТЕПЕРЬ ПО-НОВОМУ

Российские власти подчеркивают, что бизнес и государство обязаны вместе защищать персональные данные (ПД) россиян. По мнению заместителя главы Роскомнадзора Милоша Вагнера, правовые основания для их обработки необходимо пересмотреть, чтобы

субъект ПД перестал быть слабой стороной в отношениях с оператором, имел возможность предоставлять именно добровольное согласие на их обработку, а сами данные действительно требовались для предоставления сервиса человеку, а не компании для развития бизнеса и рекламы

Уже сейчас коммерческие организации должны внимательно изучить свои тексты согласий на обработку личной информации клиентов на предмет соответствия обновленным требованиям, подчеркнула на веб-семинаре «Реформа 152-ФЗ “О персональных данных”» советник практики защиты данных и кибербезопасности юридической фирмы «АЛРУД» Анастасия Петрова. Она констатирует, что

с появлением дополнительных условий в новой редакции закона – экстерриториальности и новых критериев надлежащего согласия – у клиентов компаний появится больше оснований для оспаривания действительности согласия, которое дают субъекты

В обновленном законе появились гарантии прав субъектов ПД. Согласно им, оператор не имеет права включать в договоры положения, ограничивающие права и свободы, условия, устанавливающие случаи обработки сведений несовершеннолетних, а также положения, предусматривающие бездействие клиента как условие для заключения договора.

Анастасия Петрова, «АЛРУД»:

– Последнее означает, что нельзя направлять соглашение, где может быть написано: «Если вы не ответили в течение какого-то времени, то мы считаем, что вы согласны c этими условиями обработки ПД».

Нововведения подразумевают, что закон будет применяться к иностранным компаниям, государственным органам и физическим лицам, если у них есть соглашения с гражданами РФ, а также когда россияне разрешили им обработку своих ПД. Таким образом, в отношении зарубежных организаций, покидающих сейчас отечественный рынок, ФЗ-152 может применяться, констатирует эксперт.

ОФИЦЕРСКИЙ ДОЛГ

Важный момент новых правил – введение дополнительных критериев согласия на обработку. В текущей редакции оно должно быть конкретным, информированным и сознательным, в обновленной к этим условиям добавляются «предметность» и «однозначность».

Также, обращает внимание А.Петрова, поручение на обработку может быть осуществлено только с согласия клиента. Новая редакция закона требует включать в поручение дополнительные обязательства для обработчика. В частности, соблюдать требования законодательства РФ о локализации ПД. По ее словам, это условие может существенно ограничить операторов в выборе обработчиков, поскольку не каждый из них, особенно иностранный, сможет соблюдать его и гарантировать в договоре.

Сейчас компании могут передавать ПД в страны адекватной юрисдикции (члены Конвенции по защите прав физических лиц при автоматизированной обработке данных) на любом правовом основании, на котором они обрабатываются. В «неадекватные», то есть не участникам Конвенции, передача возможна при личном согласии или для выполнения договора с субъектом ПД.

По словам А.Петровой, новый порядок трансграничной передачи данных подразумевает два режима:

• Уведомительный – оператор должен отправить в Роскомнадзор сообщение о том, куда, какие ПД и для каких целей он передает. Это сообщение рассматривается в течение 10 дней, в течение этого срока передача информации разрешена.
• Разрешительный – аналогичное обращение, если данные направлены в страны «неадекватной» юрисдикции. Во время рассмотрения уведомления передача запрещена.

Список «адекватных юрисдикций», вероятно, изменится – к ним предлагается добавить Китай, Индию, Таиланд, Кот-д’Ивуар и Киргизию. При отправке ПД в эти страны будет действовать упрощенный уведомительный порядок.

В целом изменений много, они «важные, но не критичные» и добавляют дополнительную рутинную работу, заключила А.Петрова. Поэтому, подчеркнула она,

для соблюдения новых требований защиты ПД в организациях должны появиться лица, отвечающие за защиту персональных данных, – Data Protection Officers (DPO)

Отдельные специалисты, курирующие все вопросы с ПД, понадобятся тем более, что сведения о них должны быть указаны в уведомлении о трансграничной передаче.

ПРИДЕТСЯ СООТВЕТСТВОВАТЬ

Руководитель комплаенс-бутика Complay Артем Дмитриев рассказал о результатах опроса об отношении бизнеса к обновленной редакции ФЗ-152. Подавляющее большинство компаний – 95% – намерены внедрять новые требования в свои процессы и документы, сообщил он на веб-семинаре.

При этом больше половины из них (52,4%) не планируют делать это прямо сейчас, так как ждут разъяснений, нормализации практики и появления подзаконных актов. Это вполне обоснованная позиция, считает эксперт.

Артем Дмитриев, Complay:

– Еще не понятно, что и как нужно делать. Но самое главное: пока не придумана новая прямая форма ответственности для бизнеса, все остается как прежде и ничего критичного не происходит. К тому же в этом году действует мораторий на проверки регулятора, поэтому пока бизнес медлит с внедрением новых требований.

Проблема защиты персональных данных – общая для всего мира, потому что связана с развитием информационных технологий и цифровых сервисов, отметил в своем выступлении на веб-семинаре соучредитель Russian Privacy Protection Association (RPPA) Алексей Мунтян. По его мнению,

Россия во многом будет идти по своему уникальному пути в деле регулирования ПД, а решения, которые для этого выбираются, во многом похожи на то, что делают соседние страны, отличаясь по форме

Изменения в ФЗ №152, вступающие в силу с сентября, не выглядят для него «перетягиванием каната» с надзорными органами.

Алексей Мунтян, RPPA:

– Есть определенное беспокойство в том, что разогретая тема утечек ПД станет инструментом в нечистоплотной конкурентной борьбе. Компиляции информации, находящейся в открытом доступе либо ранее попавшей в Сеть, могут выдаваться за свежие и использоваться против организаций, работающих в секторе B2C и интернет-сфере.

Нагрузка на бизнес возрастет, особенно в связи с трансграничной передачей и новой формой подготовки уведомлений – теперь для каждой цели обработки данных нужно формулировать отдельно перечень субъектов и персональных данных, считает управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Это требует значительных усилий от оператора, а любое расхождение фактического состояния дел с содержанием уведомлений рассматривается регулятором как административное нарушение, квалифицируемое по статье 19.7 КоАП, пояснил он RSpectr.

Расходы бизнеса действительно увеличатся, а уровень защиты прав субъектов ПД не изменится, высказал в беседе с RSpectr сомнения глава Института исследований интернета Карен Казарян.

Карен Казарян, Институт исследований интернета:

– У меня лично нет уверенности и в эффективности европейского законодательства, которое считается эталонным в области защиты персональных данных. Поскольку неизбежно оно создает большую нагрузку на малый бизнес, чем на крупный.

А.Дмитриев обратил внимание, что нововведения создают триггер к формированию инструментов, направленных на отслеживание утечек.

Изображение: RSpectr, Adobe Stock