Законопроект вводит ряд важных изменений в законодательство о персональных данных, на наиболее важные из которых мы бы хотели обратить ваше внимание.
Трансграничная передача персональных данных
Одним из наиболее важных изменений является порядок осуществления трансграничной передачи персональных данных из Российской Федерации в другие юрисдикции. Законопроект фактически вводит уведомительно-разрешительную модель такой передачи.Текущее регулирование
В настоящий момент трансграничная передача персональных данных не ограничивается, но требует соблюдения определенных условий. В частности, в зависимости от того, обеспечивает ли страна, в которую передают персональные данные, адекватную защиту или нет, оператору, по общему правилу, необходимо получить от субъекта персональных данных письменное согласие, содержание которого строго регулируется законом «О персональных данных» («Закон о персональных данных»).
Будущее регулирование
После вступления в силу Законопроекта порядок осуществления трансграничной передачи персональных данных будет существенно усложнен.
До начала передачи оператор персональных данных обязан будет подать уведомление об этом в Роскомнадзор. Уведомление должно содержать описание самого процесса передачи (категории данных, юрисдикцию и т.д.). При этом, до подачи такого уведомления оператор должен получить от иностранных лиц или органов, которым планируется осуществить трансграничную передачу персональных данных, информацию о правовом регулировании в области персональных данных в иностранной юрисдикции, куда осуществляется передача (если передача осуществляется в страну, не обеспечивающую адекватную правовую защиту). В дальнейшем оператор обязан хранить и предоставить данную информацию в Роскомнадзор, если последний запросит ее при рассмотрении уведомления. Это означает, что оператор должен совместно с указанными иностранными лицами или органами проанализировать зарубежное законодательство и описать гарантии защиты персональных данных в уведомлении.
Роскомнадзор в течение 10 дней рассматривает уведомление, по итогам которого он вправе принять решение о приостановке или запрете трансграничной передачи. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене. Такие формулировки оставляют широкое усмотрение государственным органам при разрешении вопроса о том, запрещать ли или ограничивать передачу персональных данных или нет.
Следует отметить при этом, что, если трансграничная передача осуществляется в страну, обеспечивающую адекватную правовую защиту, рассмотрение Роскомнадзором уведомления не ограничивает возможность такой передачи данных. Если же трансграничная передача предполагается в страну, не обеспечивающую адекватную правовую защиту, то оператор не вправе осуществлять такую передачу до тех пор, пока Роскомнадзор не примет решение по поданному уведомлению.
Практические последствия
С практической точки зрения для оператора новый порядок означает следующее:
- Перед тем как начать пользоваться зарубежными сервисами и начать работу с иностранным контрагентом, необходимо запросить информацию о месте нахождения серверов с данными, а также имеющуюся информацию о наличии гарантий защиты персональных данных. Если такие серверы расположены в странах, не обеспечивающих адекватную защиту персональных данных (например, США), то совместно с контрагентами подготовить описание правового регулирования в такой стране. С нашей стороны мы проанализировали и подготовили ряд типовых положений с анализом законодательства иностранных государств, которые можно использовать при подготовке уведомлений. Также рекомендуется вести реестр или схему (data map) трансграничных передач персональных данных, чтобы обеспечить управление процессом своевременного направления уведомлений.
- Необходимо предусмотреть в договоре с контрагентами обязательство об уведомлении при изменении схемы передачи данных, так как, например, перенос серверов или переориентация на получение услуг хостинга данных в другой юрисдикции и изменение потоков передачи данных может означать, что оператору необходимо будет подать новое уведомление.
- Если до вступления в силу данного Законопроекта оператором осуществлялась трансграничная передача, то необходимо до 1 марта 2023 года подать уведомление в Роскомнадзор о трансграничной передаче.
Экстерриториальность действия закона
Закон вводит концепцию экстерриториального действия Закона о персональных данных.Текущее регулирование
В настоящий момент конкретных норм (как, например, в Общем регламенте по защите данных (General Data Protection Regulation (GDPR)) относительно экстерриториального применения Закона о защите персональных данных нет.
Будущее регулирование
Законопроект предусматривает, что Закон о защите персональных данных применяется к обработке персональных данных граждан Российской Федерации, осуществляемой на основании договоров, стороной которых являются российские граждане, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и российскими гражданами, либо на основании согласия российского гражданина на обработку его персональных данных, а также к совершаемым иностранными органами власти, юридическими или физическими лицами действиям с персональными данными граждан Российской Федерации, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных.
В отличие от мировых примеров установления экстерриториальности (например, GDPR, DIFC Data LawНапример, в GDPR предусмотрен многоступенчатый порядок определения применимости GDPR в зависимости от того есть ли у оператора (контроллера) присутствие в ЕС (establishment), имеет ли место таргетирование пользователей в ЕС и т.д.) норма Законопроекта крайне абстрактна и не содержит конкретных критериев, когда Закон о персональных данных применяется к обработке за рубежом. Например, любая обработка персональных данных в принципе может затрагивать права и свободы субъекта персональных данных. Означает ли это, что при любой передаче персональных данных за границу или к любому сбору данных, совершенному за границей, будет применяться Закон о персональных данных?
Отдельный вопрос — это последствия нарушения Закона о персональных данных при обработке за рубежом. С одной стороны, наложение штрафов на иностранных юридических лиц при отсутствии активов в России малопродуктивно. С другой стороны, у Роскомнадзора есть полномочие приостановить или запретить обработку персональных данных.
Практические последствия
Учитывая неясность формулировок об экстерриториальном применении Закона о персональных данных, мы с нашей стороны готовим запрос в Роскомнадзор о разъяснении экстерриториального применения Закона о персональных данных.
Статус «лица, осуществляющего обработку по поручению оператора»
Законопроект в актуальной версии не содержит термин «лицо, осуществляющее обработку» (в более ранних версиях предлагалось ввести данный термин) и сохраняет старую конструкцию «лица, которому оператором поручена обработка персональных данных». При этом Законопроектом уточняется статус данного субъекта.Текущее регулирование
В настоящий момент Закон о персональных данных предусматривает право оператора поручать обработку персональных данных третьим лицам. Хотя самого определения лица, которому поручается обработка персональных данных, в Законе о персональных данных нет. Как следствие, представители Роскомнадзора, учитывая, что в законодательстве нет понятия «обработчика» (или аналога), высказывали позицию о том, что лицо, которому поручается обработка персональных данных, также является оператором. Отсутствие определения «обработчика» также порождало проблему квалификации статуса различных субъектов, которые вовлечены в процесс обработки персональных данных.
Будущее регулирование
Законопроектом предусматривается, что поручение оператора на обработку персональных данных может выдаваться третьим лицам на основании договора, государственного или муниципального контракта, или актов государственных или муниципальных органов власти.
Законопроект предусматривает, что поручение оператора на обработку персональных данных, выраженное в соответствующем договоре или ином акте, должно содержать перечень, цели обработки персональных данных, перечень допустимых операций по такой обработке и обязательство данного лица соблюдать конфиденциальность. Новыми правилами также отмечается, что лицо, обработка персональных данных которому поручена оператором, должно руководствоваться принципами и правилами обработки персональных данных, указанных в Законе о персональных данных, и выполнять иные возложенные на него законом обязанности.
Более того, новое регулирование также предусматривает обязанность лица, которому поручена обработка, по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований.
Также иностранное физическое или юридическое лицо, осуществляющее обработку персональных данных по поручению оператора, наравне с оператором несет ответственность за свои действия непосредственно перед субъектом персональных данных.
Практические последствия
Таким образом, документальное оформление взаимоотношений между операторами персональных данных и обработчиками потребует существенной адаптации под новые правила. Кроме того, возрастут риски иностранных обработчиков, обрабатывающих данные по поручению российских операторов персональных данных.
Работа с потребителями
Законопроект вводит ряд новых требований, которые необходимо учитывать при работе с потребителями.Текущее регулирование
В настоящий момент сбор персональных данных потребителей (в том числе запрет на избыточный сбор) регулируется общими правилами. Строго говоря, если исходить из смысла законодательства о персональных данных, то и в настоящий момент сбор избыточных персональных данных потребителей является незаконным, поскольку одним из принципов обработки является принцип минимизации. В соответствии с данным принципом обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработкиЧасть 5 статьи 5 Закона о персональных данных, а согласие на обработку должно быть свободным. Следовательно, требование предоставить персональных данные, которые не являются необходимыми для оказания услуги (и отказ в предоставлении такой услуги), неправомерно. Однако на практике принципы обработки персональных данных соблюдаются весьма избирательно. В частности, как правило, условием оказания услуги является предоставление значительного объема персональных данных (телефон, электронная почта и т.д.).
Будущее регулирование
Законопроект прямо указывает на незаконность отказа в предоставлении услуг при отказе предоставления потребителем избыточных персональных данных. Установлено, что оператор не вправе отказывать в предоставлении услуг в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
Практические последствия
Необходимо провести аудит персональных данных, собираемых у потребителей, и внести изменения в соответствующие документы, если сбор данных является избыточным. При этом необходимо помнить, что нововведение вовсе не означает, что нужно сразу существенно сократить объем собираемых данных. Такие данные нужны для программ лояльности, анализа пользовательского поведения, улучшения продукта и т.д. Новое требование говорит лишь о том, что при отказе предоставить персональные данные нельзя отказать в предоставлении услуги, но запрос таких данных не является незаконным, при условии соблюдения остальных принципов обработки (соответствие собираемых данных целям обработки, соблюдения требований к согласию, предоставлении субъекту необходимой информации и т.д.).
Отдельным вопросом является то, почему новое требование относится только к случаям оказания услуг, а не продажи товаров и выполнения работ.
Предустановка российских «магазинов приложений»
Вносятся изменения в Закон о защите прав потребителей, предусматривающие обязательную предустановку «единого магазина приложений».Текущее регулирование
В настоящее время продавцы, импортеры или производители обязаныЧасть 4.1. статьи 4 Закона о защите прав потребителей предустанавливать только российское программное обеспечение, которое внесено в соответствующий правительственный переченьРаспоряжение Правительства РФ от 31 июля 2021 года
Будущее регулирование
Законопроект предлагает расширить круг обязательных к предустановке программ и включить в него не только программы из соответствующего перечня, но и фактически любую российскую программу, являющуюся «единым магазином приложений». Под данным термином понимается программа для электронных вычислительных машин, которая предназначена для поиска, просмотра и приобретения компьютерных программ, применяемых потребителями с использованием технически сложных товаров.
Установлено, что в данном предустановленном едином магазине приложений также должны быть размещены программы, перечень которых устанавливает Минцифры.
Практические последствия
Обязанность по предустановке единого магазина приложений возникает у продавцов, импортеров или производителей с 1 сентября 2022 года.
В настоящее время запущено несколько платформ, которые могут быть квалифицированы как единый магазин приложений (NashStore и RuStore), но из действующего регулирования однозначно не следует, какая из этих платформ будет обязательной для предустановки. В данном вопросе также важно учесть, что соответствующие акты по вопросам создания и функционирования единого магазина приложений, принимаемые федеральными органами государственной власти, могут вступать в силу с момента опубликования.
Таким образом, продавцы, импортеры и производители соответствующей технически сложной техники должны принять подготовительные меры для обеспечения возможности в достаточно короткие сроки исполнить указанную обязанность по предустановке после принятия соответствующих подзаконных актов на уровне Правительства или иных федеральных органов.
Реестр недвижимости
Вносятся изменения в ФЗ «О государственной регистрации недвижимости» в части открытости Единого государственного реестра недвижимости.Текущее регулирование
В настоящее время Единый государственный реестр недвижимости остается преимущественно открытым, в том числе, открытой является информация о собственниках объектов недвижимости.
Будущее регулирование
Законопроект вводит общее правило, в соответствии с которым сведения реестра, представляющие собой персональные данные о правообладателе и лице, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости, являются закрытыми, то есть не предоставляются третьим лицам, кроме случаев, когда правообладатель дал на это свое согласие и в реестре есть запись о таком согласии.
Практические последствия
Новый порядок создаст определённые сложности при проведении юридических проверок объектов недвижимости.
Кредитные организации не обязаны самостоятельно получать сведения из ЕГРН
Вносятся изменения в ФЗ «О банках и банковской деятельности», связанные с введением режима ограниченного доступа к сведениям из ЕГРН, более подробно описанного выше.Текущее регулирование
Согласно действующему регулированию, кредитные организации при проведении банковской операции не вправе требовать от клиента предоставление сведений из ЕГРН, на основании которых можно идентифицировать клиента как правообладателя недвижимого имущества, и обязаны самостоятельно получать данные сведения из реестра.
Будущее регулирование
Отменяется обязанность кредитных организаций самостоятельно запрашивать сведения из ЕГРН, идентифицирующие клиента как обладателя прав на определенное недвижимое имущество, если такие сведения необходимы для проведения банковской операции.
Практические последствия
Новый порядок создаст определённые сложности при безналичном расчете по сделкам с недвижимостью, если в данной сделке участвует физическое лицо.
Уведомления об утечках
Законопроект вводит обязанность уведомления Роскомнадзора об утечке персональных данных.Текущее регулирование
В настоящее время законом не предусмотрена обязанность уведомить Роскомнадзор в определённый срок об инциденте информационной безопасности, который может привести или привел к нарушению прав субъектов персональных данных.
Будущее регулирование
Законопроект устанавливает, что в случае возникновения факта неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных, оператор обязан направить в Роскомнадзор два уведомления.
Первое уведомление направляется оператором в течение 24 часов с момента обнаружения такого инцидента Роскомнадзором или заинтересованным лицом, с тем чтобы уведомить Роскомнадзор о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, а также о принятых мерах по устранению соответствующих последствий. При этом, в таком уведомлении оператор обязан также указать данные лица, уполномоченного на взаимодействие с Роскомнадзором лица по вопросам данного инцидента.
В дальнейшем оператор обязан в течение 72 часов с момента обнаружения инцидента Роскомнадзором или заинтересованным лицом направить в Роскомнадзор второе уведомление, в котором должна содержаться информация о результатах внутреннего расследования выявленного инцидента, и предоставить сведения о лицах, действия которых стали причиной выявленного инцидента.
Практические последствия
На практике, для того чтобы оперативно собрать информацию об инциденте и уведомить Роскомнадзор, рекомендуется принять и внедрить план реагирования на инциденты информационной безопасности, а также типовую форму уведомления Роскомнадзора. При этом, в целях выполнения новых требований, предусмотренных Законопроектом, также рекомендуется разработать порядок определения ответственных лиц на взаимодействие с Роскомнадзором по вопросам конкретных инцидентов.
Остается открытым вопрос о том, можно ли ходатайствовать о продлении срока уведомления или подавать впоследствии уточненное уведомление, так как расследование причин инцидента может потребовать значительное время. Многие зарубежные правопорядки допускают такой подход. С нашей стороны мы подготовили запрос в Роскомнадзор с просьбой разъяснить порядок уведомления и оценить возможность подачи уточненного уведомления по итогам внутреннего расследования.
Взаимодействие с ГосСОПКА
С вступлением в силу Законопроекта операторы обязаны будут обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации («ГосСОПКА»).Текущее регулирование
В соответствии с ФЗ «О безопасности критической информационной инфраструктуры» к ГосСОПКА должны подключиться владельцы объектов критической информационной инфраструктуры, к которым относятся организации здравоохранения, энергетики, банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка), топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Будущее регулирование
Законопроект устанавливает, что операторы обязаны в порядке, определенном ФСБ РФ, обеспечивать непрерывное взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерный доступ, представление, распространение, передачу персональных данных.
Практические последствия
Во-первых, необходимо дождаться подзаконного нормативно-правового акта ФСБ РФ, так как существует вероятность, что в нем будут указаны более узкие категории операторов, которые обязаны подключаться к ГосСОПКА.
Во-вторых, если конкретный оператор обязан обеспечить взаимодействие с ГосСОПКА, то необходимо принять решение о модели такого взаимодействия (это может быть сделано через заключение соглашения с ФСБ, через подрядчика-лицензиата ФСБ или по гибридному варианту).
Сроки ответов на запросы и обращения
Законопроект сокращает многие сроки для реагирования на запросы субъектов персональных данных.Текущее регулирование
В настоящий момент многие сроки составляют 30 дней, а в некоторых статьях сроки не регламентированы. Соответственно, все политики и бизнес-процессы операторов ориентированы именно на данные сроки.
Будущее регулирование
Многие сроки были сокращены до 10 рабочих дней; в частности, в течение 10 рабочих дней оператор должен предоставить субъекту доступ к его персональным данным и информацию об обработкеЧасть 3 статья 14 Закона о персональных данных. В то же время Законопроектом предусмотрена возможность продления всех сокращенных сроков на 5 рабочих дней при условии направления субъекту персональных данных или уполномоченному органу письменного мотивированного уведомления с указанием причин продления.
Практические последствия
Мы рекомендуем внести изменения в политики и внутренние документы, изменить соответствующие бизнес-процессы и разработать типовую форму мотивированного уведомления о продлении сроков.
Политика оператора в области персональных данных и локальные акты
Законопроект предъявляет повышенные требования к политике оператора в отношении персональных данных и соответствующих локальных актов.Текущее регулирование
В настоящий момент операторы обязаны издать документ, определяющий политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Закон не устанавливает требований к конкретному содержанию таких документов. Имеются только рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных.
Будущее регулирование
Законопроект требует, чтобы документы, определяющие политику оператора в отношении обработки персональных данных, и локальные акты по вопросам обработки персональных данных определяли для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Также указывается, что такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
Практические последствия
Операторам персональных данных придется пересмотреть свои политики и локальные акты, с тем чтобы привести их в соответствие с новыми требованиями.
Уведомление об обработке персональных данных
Законопроект существенно расширяет объем информации, включаемой в уведомление Роскомнадзора, а также отменяет значительное число исключений, когда операторы могут не подавать уведомления.Текущее регулирование
В настоящий момент операторы обязаны направлять уведомление о начале процесса обработки персональных данных в Роскомнадзор. В целом данная обязанность не является обременительной, так как, помимо значительного числа исключений, объем предоставляемой информации не является значительным и, как правило, операторы включают в уведомление общую информацию об обработке и стандартные формулировки, описывающие процессы обработки.
Будущее регулирование
Законопроект отменяет большую часть исключений для подачи уведомления. В свою очередь это означает, что практически все операторы будут обязаны подавать соответствующие уведомления. Кроме того, существенно расширился перечень информации, которую необходимо включать в уведомление для Роскомнадзора. Важно также учитывать то, что, согласно новым правилам, уведомления о трансграничной передаче информации с соответствующими сведениями подаются отдельно от уведомлений данного рода.
Кроме того, оператор для каждой цели обработки персональных данных должен указывать категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, а также способы обработки.
Установлено, что Роскомнадзор также должен утвердить новую форму уведомления.
Практические последствия
В контексте увеличивающегося, согласно новым требованиям, объема информации, который необходимо включать в уведомление, операторам будет целесообразно вести реестр обрабатываемых персональных данных и (или) карты обработки данных (data map), чтобы своевременно обновлять информацию в реестре. С нашей стороны мы готовим ряд типовых документов, которые могут помочь в этом.
Мы надеемся, что информация, изложенная в настоящем обзоре, была полезна и готовы ответить на ваши вопросы и помочь выработать стратегию комплаенса в области персональных данных.
