Все на защиту персональных данных
Регулирование / Статьи
персональные данные
27.7.2022

Все на защиту персональных данных

Как бизнес будет внедрять правила обновленного 152-ФЗ

Закону «О персональных данных» сегодня, 27 июля, исполнилось 16 лет. Для усиления защиты прав граждан на неприкосновенность частной жизни в июле этого года в него были внесены изменения. Как на фоне растущего количества утечек коммерческие организации будут обрабатывать и передавать персональные данные и почему в компаниях должны появиться лица, отвечающие за их защиту, – в материале RSpectr.

МЫ БУДЕМ ЖИТЬ ТЕПЕРЬ ПО-НОВОМУ

Российские власти подчеркивают, что бизнес и государство обязаны вместе защищать персональные данные (ПД) россиян. По мнению заместителя главы Роскомнадзора Милоша Вагнера, правовые основания для их обработки необходимо пересмотреть, чтобы

субъект ПД перестал быть слабой стороной в отношениях с оператором, имел возможность предоставлять именно добровольное согласие на их обработку, а сами данные действительно требовались для предоставления сервиса человеку, а не компании для развития бизнеса и рекламы

Уже сейчас коммерческие организации должны внимательно изучить свои тексты согласий на обработку личной информации клиентов на предмет соответствия обновленным требованиям, подчеркнула на веб-семинаре «Реформа 152-ФЗ “О персональных данных”» советник практики защиты данных и кибербезопасности юридической фирмы «АЛРУД» Анастасия Петрова. Она констатирует, что

с появлением дополнительных условий в новой редакции закона – экстерриториальности и новых критериев надлежащего согласия – у клиентов компаний появится больше оснований для оспаривания действительности согласия, которое дают субъекты

В обновленном законе появились гарантии прав субъектов ПД. Согласно им, оператор не имеет права включать в договоры положения, ограничивающие права и свободы, условия, устанавливающие случаи обработки сведений несовершеннолетних, а также положения, предусматривающие бездействие клиента как условие для заключения договора.

Анастасия Петрова, «АЛРУД»:

– Последнее означает, что нельзя направлять соглашение, где может быть написано: «Если вы не ответили в течение какого-то времени, то мы считаем, что вы согласны c этими условиями обработки ПД».

Нововведения подразумевают, что закон будет применяться к иностранным компаниям, государственным органам и физическим лицам, если у них есть соглашения с гражданами РФ, а также когда россияне разрешили им обработку своих ПД. Таким образом, в отношении зарубежных организаций, покидающих сейчас отечественный рынок, ФЗ-152 может применяться, констатирует эксперт.

ОФИЦЕРСКИЙ ДОЛГ

Важный момент новых правил – введение дополнительных критериев согласия на обработку. В текущей редакции оно должно быть конкретным, информированным и сознательным, в обновленной к этим условиям добавляются «предметность» и «однозначность».

Также, обращает внимание А.Петрова, поручение на обработку может быть осуществлено только с согласия клиента. Новая редакция закона требует включать в поручение дополнительные обязательства для обработчика. В частности, соблюдать требования законодательства РФ о локализации ПД. По ее словам, это условие может существенно ограничить операторов в выборе обработчиков, поскольку не каждый из них, особенно иностранный, сможет соблюдать его и гарантировать в договоре.

Сейчас компании могут передавать ПД в страны адекватной юрисдикции (члены Конвенции по защите прав физических лиц при автоматизированной обработке данных) на любом правовом основании, на котором они обрабатываются. В «неадекватные», то есть не участникам Конвенции, передача возможна при личном согласии или для выполнения договора с субъектом ПД.

По словам А.Петровой, новый порядок трансграничной передачи данных подразумевает два режима:

  • Уведомительный – оператор должен отправить в Роскомнадзор сообщение о том, куда, какие ПД и для каких целей он передает. Это сообщение рассматривается в течение 10 дней, в течение этого срока передача информации разрешена.
  • Разрешительный – аналогичное обращение, если данные направлены в страны «неадекватной» юрисдикции. Во время рассмотрения уведомления передача запрещена.

Список «адекватных юрисдикций», вероятно, изменится – к ним предлагается добавить Китай, Индию, Таиланд, Кот-д’Ивуар и Киргизию. При отправке ПД в эти страны будет действовать упрощенный уведомительный порядок.

В целом изменений много, они «важные, но не критичные» и добавляют дополнительную рутинную работу, заключила А.Петрова. Поэтому, подчеркнула она,

для соблюдения новых требований защиты ПД в организациях должны появиться лица, отвечающие за защиту персональных данных, – Data Protection Officers (DPO)

Отдельные специалисты, курирующие все вопросы с ПД, понадобятся тем более, что сведения о них должны быть указаны в уведомлении о трансграничной передаче.

ПРИДЕТСЯ СООТВЕТСТВОВАТЬ

Руководитель комплаенс-бутика Complay Артем Дмитриев рассказал о результатах опроса об отношении бизнеса к обновленной редакции ФЗ-152. Подавляющее большинство компаний – 95% – намерены внедрять новые требования в свои процессы и документы, сообщил он на веб-семинаре.

При этом больше половины из них (52,4%) не планируют делать это прямо сейчас, так как ждут разъяснений, нормализации практики и появления подзаконных актов. Это вполне обоснованная позиция, считает эксперт.

Артем Дмитриев, Complay:

– Еще не понятно, что и как нужно делать. Но самое главное: пока не придумана новая прямая форма ответственности для бизнеса, все остается как прежде и ничего критичного не происходит. К тому же в этом году действует мораторий на проверки регулятора, поэтому пока бизнес медлит с внедрением новых требований.

Проблема защиты персональных данных – общая для всего мира, потому что связана с развитием информационных технологий и цифровых сервисов, отметил в своем выступлении на веб-семинаре соучредитель Russian Privacy Protection Association (RPPA) Алексей Мунтян. По его мнению,

Россия во многом будет идти по своему уникальному пути в деле регулирования ПД, а решения, которые для этого выбираются, во многом похожи на то, что делают соседние страны, отличаясь по форме

Изменения в ФЗ №152, вступающие в силу с сентября, не выглядят для него «перетягиванием каната» с надзорными органами.

Алексей Мунтян, RPPA:

– Есть определенное беспокойство в том, что разогретая тема утечек ПД станет инструментом в нечистоплотной конкурентной борьбе. Компиляции информации, находящейся в открытом доступе либо ранее попавшей в Сеть, могут выдаваться за свежие и использоваться против организаций, работающих в секторе B2C и интернет-сфере.

Нагрузка на бизнес возрастет, особенно в связи с трансграничной передачей и новой формой подготовки уведомлений – теперь для каждой цели обработки данных нужно формулировать отдельно перечень субъектов и персональных данных, считает управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Это требует значительных усилий от оператора, а любое расхождение фактического состояния дел с содержанием уведомлений рассматривается регулятором как административное нарушение, квалифицируемое по статье 19.7 КоАП, пояснил он RSpectr.

Расходы бизнеса действительно увеличатся, а уровень защиты прав субъектов ПД не изменится, высказал в беседе с RSpectr сомнения глава Института исследований интернета Карен Казарян.

Карен Казарян, Институт исследований интернета:

– У меня лично нет уверенности и в эффективности европейского законодательства, которое считается эталонным в области защиты персональных данных. Поскольку неизбежно оно создает большую нагрузку на малый бизнес, чем на крупный.

А.Дмитриев обратил внимание, что нововведения создают триггер к формированию инструментов, направленных на отслеживание утечек.

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании