Ключевые изменения в законодательстве о персональных данных за первое полугодие 2022 года
В настоящем обзоре представлены ключевые изменения, внесенные в российское законодательство о персональных данных за первое полугодие 2022 года. Положения, включенные в обзор, были выбраны исходя из их актуальности для операторов персональных данных.
1. Новые обязанности, связанные с компьютерными инцидентами
Закон обязал операторов персональных данных уведомлять Роскомнадзор о компьютерных инцидентах, которые повлекли нарушение прав субъектов персональных данных. Новая обязанность распространяется на случаи передачи (предоставления, распространения и доступа) персональных данных независимо от того, произошли ли они в результате неправомерных действий или случайно. Учитывая широкий характер понятия «права субъектов персональных данных», под действие Закона подпадет большое число подобных инцидентов.
Согласно Закону, новая обязанность оператора персональных данных возникает с момента выявления компьютерного инцидента и предполагает направление двух уведомлений в Роскомнадзор: первичное – в течение 24 часов с информацией об инциденте, и последующее – в течение 72 часов с результатами внутреннего расследования. Сведения, которые должны быть включены в уведомления, указаны ниже.
Таким образом, оператор персональных данных должен будет провести внутреннее расследование компьютерного инцидента в течение трех суток с момента его выявления. Для соблюдения этого срока компания должна иметь необходимые ресурсы и внедрить соответствующие процессы.
Сведения о компьютерных инцидентах будут учитываться в специальном реестре. Порядок и условия взаимодействия операторов с таким реестром должен определить Роскомнадзор.
Помимо этого, операторы персональных данных будут обязаны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – «ГосСОПКА»). В рамках взаимодействия с ГосСОПКА оператор персональных данных обязан уведомлять ФСБ о компьютерных инцидентах, которые произошли только в результате неправомерных действий. Порядок взаимодействия с ГосСОПКА будет утверждён ФСБ.
Ответственность за компьютерные инциденты
Специальная административная ответственность за допущение компьютерного инцидента на данный момент отсутствует – Роскомнадзор рассматривает такие дела по ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях (так называемый «общий состав»). Однако обсуждается введение штрафов, в том числе оборотных, как за сами инциденты, так и за нарушение обязанности по уведомлению о них.
2. Применение законодательства о персональных данных к иностранным компаниям
В правоприменительной практике последних лет применение положений Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о ПДн») к иностранным компаниям, не имеющим на территории России физического присутствия, носило ограниченный характер и основывалось на критериях направленности (подробнее см. в обзоре Персональные данные: 10 фактов, которые должен знать иностранный бизнес в России). Теперь в закон о ПДн включена прямая норма об этом – иностранные юридические лица будут обязаны соблюдать его положения при обработке персональных данных граждан РФ на основании договора или иных соглашений с ними, а также согласия на обработку персональных данных.
Фактически Закон ввел более жесткое и широкое правило по сравнению с применяемыми ранее критериями направленности. Ранее Роскомнадзор обращал внимание на выполнение требования о «локализации» баз данных, содержащих персональные данные российских граждан, наличие законных оснований для их обработки и политики обработки персональных данных. Теперь круг требований расширится – иностранные операторы персональных данных также должны будут выполнять иные требования Закона о ПДн (например, требования к набору внутренних политик, срокам ответа, информационной безопасности и др.).
В контексте такого широкого применения Закона о ПДн необходимо отметить введение специальной ответственности за неисполнение решения о запрете сбора персональных данных граждан РФ, которое может принять Роскомнадзор. Данный запрет является одной из мер понуждения в соответствии с так называемым «Законом о приземлении», который распространяется на иностранных лиц, осуществляющих деятельность в сети «Интернет» на территории РФ.
Ответственность будет наступать в виде административного штрафа до 6 млн рублей за первичное нарушение и до 18 млн рублей – за повторное.
3. Обновление правил трансграничной передачи персональных данных
В Закон о ПДн внесены существенные изменения, касающиеся трансграничной передачи персональных данных.
До 1 марта 2023 г. порядок сохраняется прежним – трансграничная передача персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных (например, США), возможна в пяти случаях, указанных в Законе о ПДн. Для передачи персональных данных в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, наличие специальных оснований не требуется.
С 1 марта 2023 г. от оператора будет требоваться уведомление Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных (далее – «Уведомление»). В зависимости от страны передачи Уведомление будет носить «уведомительный» либо «разрешительный» характер.
Новый порядок трансграничной передачи персональных данных схематично отражен ниже.
По результатам рассмотрения Уведомления Роскомнадзор может принять решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Уведомление можно подать как в бумажном, так и в электронном виде. Специальная форма не утверждена. В Уведомлении необходимо будет указать следующие сведения:
- об операторе и уведомлении о намерении осуществлять обработку персональных данных;
- о лице, ответственном за организацию обработки персональных данных;
- правовое основание и цель трансграничной передачи и дальнейшей обработки персональных данных;
- категории и перечень передаваемых персональных данных;
- категории субъектов персональных данных;
- перечень стран, на территории которых планируется трансграничная передача;
- дата проведения оператором оценки соблюдения получателями персональных данных конфиденциальности и обеспечения безопасности при их обработке.
На этапе рассмотрения Закона в Государственной думе РФ Роскомнадзор давал разъяснения о том, что оператор персональных данных должен будет направлять Уведомление один раз для каждой страны, в которую будут передаваться персональные данные. Данное толкование напрямую не следует из текста Закона, поэтому целесообразно дождаться дополнительных разъяснений Роскомнадзора по данному вопросу.
Помимо этого, существующие основания для ограничения или запрета трансграничной передачи персональных данных дополнены такими основаниями, как, например, защита финансовых и экономических интересов РФ, суверенитета, безопасности, территориальной целостности и других интересов РФ на международной арене. Указанные ограничения и запреты могут быть реализованы в порядке, установленном Правительством РФ, и при наличии представления со стороны уполномоченного в соответствующей сфере органа государственной власти.
Операторы персональных данных, которые осуществляли трансграничную передачу персональных данных до 1 сентября 2022 г. и продолжат осуществлять её после, обязаны подать Уведомление не позднее 1 марта 2023 г.
4. Новые требования к поручению на обработку персональных данных
При привлечении к обработке персональных данных другой компании, например, для поддержки информационных систем или оказания бухгалтерских услуг, необходима письменная фиксация поручения обработки персональных данных. Закон расширил перечень требований к содержанию такого поручения. Например, теперь в нем необходимо указывать перечень персональных данных, обязанность соблюдать требование о локализации персональных данных, положения об уведомлении оператора об инцидентах в сфере информационной безопасности и др.
Согласно Закону, если обработка персональных данных поручена иностранному юридическому лицу, то такое лицо несет ответственность перед субъектом персональных данных вместе с оператором. Из данной нормы можно сделать вывод о том, что ответственность будет распределяться между соответствующим иностранным юридическим лицом и оператором с учетом конкретных действий, которые повлекли причинение вреда субъекту персональных данных.
5. Обновление правил направления уведомления о намерении осуществлять обработку персональных данных
5.1. Расширение перечня случаев подачи уведомления о намерении осуществлять обработку персональных данных
Компании, обрабатывающие персональные данные, по общему правилу, должны уведомить Роскомнадзор о начале обработки персональных данных. В Закон о ПДн внесены изменения, согласно которым существенным образом ограничено число случаев, когда оператор персональных данных вправе не подавать уведомление в Роскомнадзор. В частности, такое право возникает, если:
- обработка персональных данных происходит в рамках государственных информационных систем;
- обработка персональных данных происходит без использования средств автоматизации;
- обработка персональных данных происходит в рамках законодательства о транспортной безопасности.
Таким образом, теперь большая часть операторов будет обязана направлять указанное уведомление в Роскомнадзор.
5.2. Детализация сведений в уведомлении о намерении осуществлять обработку персональных данных
Ранее оператор персональных данных должен был указывать в уведомлении, в том числе, категории персональных данных и субъектов, правовое основание обработки, перечень действий и способы обработки персональных данных. Закон уточнил данную обязанность. Теперь данные сведения должны указываться применительно к каждой цели обработки персональных данных.
5.3. Новый срок уведомления об изменениях в обработке персональных данных
Закон увеличил срок уведомления Роскомнадзора об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Теперь оператор должен уведомлять Роскомнадзор об изменениях не позднее 15-го числа месяца, следующего за месяцем, когда такие изменения возникли.
6. Ограничение сбора персональных данных
6.1. Сбор персональных данных потребителей
Изменениями, внесенными в Закон РФ «О защите прав потребителей» от 7 февраля 1992 г. № 2300-1 (далее – «Закон о защите прав потребителей»)3, введено понятие - «недопустимые условия договора», а также определен ряд условий, которые считаются ущемляющими права потребителя по умолчанию. К таким условиям, например, относятся: право на односторонний отказ продавца от исполнения обязательства, ограничение потребителя в праве на выбор территориальной подсудности споров, исключение или ограничение ответственности продавца за неисполнение или ненадлежащее исполнение обязательства, когда это не предусмотрено законом и др.
Наряду с этим, согласно внесенным в Закон о защите прав потребителей изменениям, продавец (исполнитель, владелец агрегатора) не вправе отказать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом последнего предоставить свои персональные данные, за исключением случаев, когда:
- персональные данные должны быть предоставлены в соответствии с законом;
- персональные данные непосредственно связаны с исполнением договора (например, когда для доставки товара необходим адрес потребителя).
У потребителя есть право запросить информацию о причинах и правовых основаниях, из-за которых невозможно заключить, изменить или расторгнуть договор без предоставления персональных данных.
С 1 сентября 2022 г. на юридическое лицо может быть наложен административный штраф в размере до 50 000 рублей4 за нарушение правил такого отказа.
4 Федеральный закон от 28 мая 2022 г. № 145-ФЗ «О внесении изменения в статью 14.8 Кодекса РФ об административных правонарушениях».
6.2. Сбор биометрических персональных данных
Начиная с 2020 года, в отношении обработки биометрических персональных данных введен ряд законодательных ограничений и запретов. В развитие данного тренда в Закон о ПДн введено положение, согласно которому предоставление биометрических персональных данных не может быть обязательным. Исключение из данного правила касается только случаев, когда обработка биометрических персональных данных осуществляется на иных основаниях, чем согласие субъекта персональных данных.
Также в Законе о ПДн теперь прямо указано, что оператор не вправе отказать субъекту в обслуживании при отказе последнего предоставить свои биометрические персональные данные и (или) дать согласие на обработку своих персональных данных, за исключением случая, когда получение такого согласия обязательно согласно закону.
7. Уточнение требований к внутренней документации операторов персональных данных
7.1. Обязанность вести реестр процессов обработки персональных данных
Закон обязал операторов издавать локальные акты, в которых должны быть детализированы осуществляемые ими процессы обработки персональных данных. Фактически Закон ввел в качестве обязательного документа «облегченную» версию так называемого реестра процессов обработки персональных данных. Ведение данного документа было одной из практик, которой следовали операторы персональных данных и до принятия Закона. Согласно Закону, оператор должен указывать в таком локальном акте следующие сведения для каждой цели обработки персональных данных:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов персональных данных, чьи данные обрабатываются;
- способы и сроки обработки и хранения персональных данных;
- порядок уничтожения персональных данных.
7.2. Требования к опубликованию политики обработки персональных данных
Согласно Закону, если сбор персональных данных осуществляется с использованием сети Интернет, то политика должна быть опубликована не просто на сайте, но и на его соответствующих страницах, где происходит сбор персональных данных. Полагаем, что допустимой также должна быть практика указания активной ссылки на данную политику (например, в формате всплывающего окна или переадресации на специальную страницу).
7.3. Ограничение не предусмотренных законом практик в сфере обработки персональных данных
В Закон о ПДн введена норма о том, что документы оператора, относящиеся к обработке персональных данных, не могут содержать положения, которые ограничивают права субъектов персональных данных, а также возлагают на операторов полномочия и обязанности, не предусмотренные законодательством РФ.
Последнее ограничение нуждается в дополнительном разъяснении со стороны Роскомнадзора, поскольку открытым остается вопрос о том, подпадают ли под данную норму случаи, когда оператор персональных данных, с точки зрения другой юрисдикции, обязан также выполнять требования зарубежного регулирования, которые распространяются на его деятельность (например, требования Общего регламента защиты персональных данных (GDPR)).
8. Изменение сроков взаимодействия с субъектами персональных данных и Роскомнадзором
Изменениями Закона о ПДн в три раза уменьшены сроки взаимодействия оператора персональных данных с субъектами персональных данных и Роскомнадзором. В течение 10 рабочих дней оператор будет обязан выполнить следующие действия (с учетом того, какой запрос был получен):
- направить ответ субъекту персональных данных на его запрос об информации, касающейся обработки его персональных данных;
- сообщить субъекту персональных данных информацию о наличии персональных данных, относящихся к нему, и предоставить возможность ознакомиться с ними;
- направить ответ на запрос Роскомнадзора.
Срок может быть продлен не более чем на 5 рабочих дней при условии направления обоснования для продления субъекту или в Роскомнадзор соответственно. Помимо этого, в Закон о ПДн внесен принцип идентичности формы ответа на запрос субъекта информации, касающейся обработки его персональных данных, – по умолчанию он должен быть дан в той же форме, что и запрос.
9. Дополнительные критерии для действительности согласия на обработку персональных данных
Действительность согласия ранее определялась следующей формулой – согласие должно быть конкретным, информированным и сознательным. В дополнение к этому Закон установил, что согласие должно быть также предметным и однозначным.
Определения предметности и однозначности согласия являются оценочными и подлежат оценке в каждом конкретном случае. Однако на данном этапе можно сделать вывод о том, что текст согласия теперь должен быть более детальным и определенным.
10. Необходимость активных действий субъекта персональных данных
В Закон о ПДн включено положение о том, что договор, заключаемый с субъектом персональных данных, не может содержать положения, допускающие в качестве условия заключения договора бездействие субъекта. Данное положение направлено на прекращение таких практик, как, например, включение в пользовательские соглашения положений, касающихся обработки персональных данных, с которыми пользователь соглашался путем «продолжения использования сайта».
Порядок вступления Закона в силу
1 сентября 2022 г.
Вступают в силу все положения Закона, кроме указанных ниже.
1 марта 2023 г.
Вступают в силу положения, указанные в п. 3, 5.3 данного обзора, а также ряд иных точечных изменений.
До 1 марта 2023 г. необходимо подать Уведомление, если трансграничная передача персональных данных осуществлялась до 1 сентября 2022 г. и продолжает осуществляться.
Виктор Наумов,
управляющий партнер санкт-петербургского офиса, д.ю.н., Dentons
Владислав Архипов,
советник практики в области ИС/ИТ и телекоммуникаций, д.ю.н., Dentons
Ксения Смирнова,
старший юрист практики в области ИС/ИТ и телекоммуникаций, Dentons
Александр Котов,
младший юрист практики в области ИС/ИТ и телекоммуникаций, Dentons