Трансграничная передача данных: без согласия, но с уведомлением
Действует с 1 марта 2023 года
В новой редакции ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» разрешено передавать персональные данные на территории иностранных государств лишь после направления уведомления в Роскомнадзор. При этом отменена обязанность получать согласие на трансграничную передачу.
В уведомлении указываются основание и цель передачи, категории и перечень передаваемых данных, список государств, куда планируется передача, и другое. Перед предоставлением уведомления нужно получить у иностранного контрагента некоторые сведения и провести оценку того, как он будет соблюдать конфиденциальность и обеспечивать безопасность персональных данных. Методика оценки законом не установлена — ее определяет сам оператор.
Роскомнадзор вправе во внесудебном порядке запретить или ограничить трансграничную передачу для защиты нравственности, здоровья, прав и законных интересов граждан, защиты экономических и финансовых интересов России и в других целях. На практике ни один международный проект не обойдется без передачи данных (командировки работников, деловая переписка с партнерами, использование иностранных IT-систем и подобное). В июне РБК сообщал о вынесении первых семи запретов в отношении финансовых и логистических компаний.
Что делать?
При появлении у компании нового иностранного контрагента запросить у него сведения о защите персональных данных (перечень приведен в ч. 5 ст. 12 закона «О персональных данных»), провести оценку ответов, а затем подать уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу.
Актирование уничтожения персональных данных
Действует с 1 марта 2023 года
Согласно новой ч. 7 ст. 21 закона «О персональных данных» операторы должны подтверждать уничтожение персональных данных в порядке, установленном в приказе Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных». Об уничтожении документов (материальных носителей) составляется акт, содержащий среди прочего наименование каждого материального носителя и количество листов, причину уничтожения, Ф. И. О. или иную информацию о субъекте, чьи данные уничтожены. Удаление данных из информационных систем (например, 1С) отражается в выгрузках из журнала регистрации событий и указанных выше актах.
Кто и какими силами сможет составлять акты в отделе кадров предприятия с несколькими тысячами работников? Если в актах указывать Ф. И. О. или иные сведения о субъектах персональных данных, означает ли это, что их данные никогда не будут уничтожены целиком? Пока правоприменительная практика отсутствует, вопросы остаются.
Что делать?
Организовать актирование уничтожения персональных данных во всех подразделениях компании (например, приняв об этом локальный нормативный акт), а еще настроить журналы регистрации событий в информационных системах.
Ограничение обработки биометрических персональных данных
Действует с 1 июня 2023 года
Компаниям и иным лицам запрещено обрабатывать биометрические персональные данные в своих информационных системах (автоматизированным способом) для идентификации и аутентификации физических лиц без использования государственной единой биометрической системы (ЕБС) согласно ст. 15 Федерального закона от 29.12.2022 № 572-ФЗ. Для подключения к ЕБС требуется аккредитация в Минцифры. Например, установка автоматической системы контроля охраны труда на производстве, узнающей работников «в лицо», теперь невозможна без аккредитации. Охранники на КПП по-прежнему могут вручную проверять пропуска с фото.
Что делать?
Исключить использование любых информационных систем, автоматически «узнающих» людей по биометрическим данным, либо подключиться к ЕБС.
Внеплановые проверки в случае утечки данных
Действует с 14 февраля 2023 года
Пересмотрены условия моратория на проведение контрольных (надзорных) мероприятий. Теперь допускается проведение внеплановых мероприятий по контролю за обработкой персональных данных, если установлено распространение (предоставление) в интернете баз данных, содержащих персональные данные. Для этого нужно решение руководителя Роскомнадзора или его заместителя, а также согласование прокуратуры на основании подп. «а» п. 3 Постановления Правительства от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля» и п. 2(1) Постановления Правительства от 24.03.2022 № 448 «Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты правительства».
Что делать?
Заранее разработать план действий на случай утечки данных и готовиться к проверке после обязательного уведомления Роскомнадзора о таком инциденте (ч. 3.1 ст. 21 закона «О персональных данных»).
Использование рекомендательных технологий в интернете
Действует с 1 октября 2023 года
В ст. 10.2-2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» установлены требования по использованию в интернете рекомендательных технологий. При использовании IT-сервисов, анализирующих поведение пользователей (например, для показа таргетированной рекламы), владелец веб-ресурса обязан разместить предупреждение об этом, правила применения рекомендательных технологий, свои электронную почту и фирменное наименование. Относятся ли сведения о поведении пользователей к персональным данным — вопрос открытый. По логике законодательства должны относиться, поскольку указанные технологии предполагают идентификацию пользователя.
Что делать?
Разработать правила применения рекомендательных технологий и обновить сайт, опубликовав приведенные выше сведения.
Чего ожидать в 2024 году?
Среди последних инициатив выделяются: введение оборотных штрафов за утечки персональных данных, создание института спецоператоров, которым небольшие компании смогут делегировать персональные данные для обработки, и другие предложения. Таким образом, тематика персональных данных останется в фокусе внимания и регуляторов, и представителей бизнеса. Можно ожидать формирования правоприменительной практики по недавним изменениям законодательства и дальнейшее ужесточение норм, направленных на предотвращение утечек информации.