ПРАВО.ru
Практика
27 сентября 2022, 21:28

Что нужно знать бизнесу о защите персональных данных

Что нужно знать бизнесу о защите персональных данных
В 2022 году прошла реформа законодательства о персональных данных, и у бизнеса появились новые обязанности. Одна их них — сообщать Роскомнадзору об утечках данных. Нововведений стоит ждать и в следующем году. Так, до передачи персональных данных за рубеж в некоторых случаях придется получать разрешение. К этим поправкам нужно готовиться уже сейчас, уверены юристы. Советами для бизнеса они поделились на конференции Право.ru, посвященной защите информации и персональных данных.

Изменения и тенденции

В 2022 году вступили в силу существенные изменения закона «О персональных данных». Поправки внесли в 15 из 29 статей, подсчитал Станислав Румянцев, старший юристГородисский и Партнеры Городисский и Партнеры Федеральный рейтинг. группа Защита персональных данных группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа ТМТ (телекоммуникации, медиа и технологии) Все изменения, по его словам, носят точечный характер и разъясняют много вопросов из практики. Это добавляет сложности юристам, уверен эксперт. Теперь его коллегам нужно провести аудит в своей компании и проконтролировать, учитываются ли там требования закона в новой редакции. 

Румянцев подробнее остановился на самых ключевых изменениях. Так, операторам связи придется чаще уведомлять Роскомнадзор. Раньше нужно было сообщать об обработке персональных данных, но были и исключения. Согласно поправкам, большинство из исключений убрали.

С начала сентября 2022-го компании обязаны сообщать Роскомнадзору об утечках. Оператор должен сделать это в течение 24 часов, рассказала Екатерина Ефимова, начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора.

Персональные данные: как юристу работать с ними

В России не было единой методики подсчета интернет-аудитории, но с 1 октября 2021 года действует ст. 12.2 закона «Об информации» («Особенности исследования объема аудитории информационных ресурсов в сети «Интернет»). Его называют законом об исследовании аудитории интернета. Подробнее о нем рассказал Михаил Хохолков, руководитель практики «Медиаправо» INTELLECT (ИНТЕЛЛЕКТ) INTELLECT (ИНТЕЛЛЕКТ) Федеральный рейтинг. группа Интеллектуальная собственность (регистрация) группа Защита персональных данных группа ТМТ (телекоммуникации, медиа и технологии) группа Цифровая экономика 13место По количеству юристов 29место По выручке на юриста 40место По выручке Профайл компании Он отметил, что изучается обширный пласт информации: сведения о каждом факте доступа к информационному ресурсу с указанием времени, типа использованного оборудования и браузера. 

Хохолков заметил, что пока закон работает точечно. Есть реестр интернет-ресурсов, чью аудиторию исследуют. В него попали четыре новостных агрегатора, восемь соцсетей, 26 зарегистрированных СМИ. При этом Хохолков отметил, что норма позволяет мониторить практически любой информационный ресурс, аудитория которого больше 1000 пользователей в месяц. Даже если это не самый популярный юридический блог, то он может набрать столько просмотров, уверен эксперт. «Пока не выглядит страшно, но непонятно, что будет в будущем», — признал Хохолков.

Артем Дмитриев, руководитель практики IP, Tech & Privacy Comply Comply Федеральный рейтинг. группа Защита персональных данных группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (защита прав и судебные споры) группа Комплаенс группа ТМТ (телекоммуникации, медиа и технологии) группа Цифровая экономика , рассказал, что в их компании исследовали, как менялось законодательство, связанное с персональными данными почти в 15 странах с 2019 года. Это помогло выявить тренды в том, как меняется регулирование. В частности, повышается контроль, в том числе за утечками данных. Дмитриев ожидает, что в России оборотные штрафы за это появятся уже в этом году. Пока поправки еще обсуждают.

Наверное, в следующем году активно будет обсуждаться и уголовная ответственность за утечки персональных данных, что делает вопрос более острым. 

Артем Дмитриев

Дмитриев отметил еще одну тенденцию: государство получает больше доступа к процессам бизнеса, и, собственно, больше возможностей для контроля бизнеса. Так, эксперта заинтересовала инициатива Минцифры о предоставлении субъектам персональных данных права отзывать согласие на их обработку через «Госуслуги». Очевидно, когда такая возможность для граждан будет запущена, государство получит возможность контролировать, кто какой запрос направил и отреагировал ли бизнес на этот запрос или нет, уверен эксперт.

Советы для бизнеса

Законодательство меняется, и бизнесу нужно знать, как себя защитить. Подробнее об этом рассказал Максим Лагутин, исполнительный директор юридической компании «Б-152». Мало лишь создать политику обработки персональных данных и положение об обработке для работников и согласия. Лагутин предлагает всегда назначать ответственного за персональные данные, а еще провести инвентаризацию обработки персональных данных и информационных систем. Это нужно, чтобы понимать, куда уходят данные, и выявить возможные риски утечки. Потом разработать дорожную карту по исправлению выявленных замечаний. По мнению Лагутина, еще бизнесу нужно выстроить порядок реагирования на запросы физлиц.

С 1 марта 2023 года у нас будет десять рабочих дней, чтобы отреагировать на запрос. А сейчас 30 дней. То есть в три раза больше.

Максим Лагутин

А еще Лагутин советует заранее определить, какие действия нужно предпринять в случае отзыва согласия или утечки данных. 

Свои рекомендации бизнесу дала и Баира Бембеева, старший юрист цифровой группы Пепеляев Групп Пепеляев Групп Федеральный рейтинг. группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Комплаенс группа Корпоративное право/Слияния и поглощения (mid market) группа Налоговое консультирование и споры (консультирование: high market) группа Налоговое консультирование и споры (споры) группа Недвижимость, земля, строительство (high market) группа Недвижимость, земля, строительство (споры) группа Природные ресурсы группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (фармацевтика) группа Экологическое право группа Антимонопольное право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (реструктуризация и консультирование) группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа Защита персональных данных группа Земельное право группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Ритейл, FMCG, общественное питание группа ТМТ (телекоммуникации, медиа и технологии) группа Финансовое/Банковское право группа Цифровая экономика группа Международный арбитраж группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа Частный капитал С учетом вступивших изменений она советует:

  • провести аудит локальных нормативных актов, которые посвящены персональным данным;
  • добавить в них данные о целях обработки персональных данных;
  • исходя из целей определить способы, сроки их обработки и хранения;
  • включить в локальные нормативные акты порядок уничтожения таких сведений.

Дмитрий Зыков, руководитель практики правовой защиты информации Технологии Доверия Технологии Доверия Федеральный рейтинг. группа Налоговое консультирование и споры (консультирование: high market) группа Налоговое консультирование и споры (споры) группа Недвижимость, земля, строительство (mid market) группа Фармацевтика и здравоохранение (фармацевтика) группа АПК и сельское хозяйство группа Банкротство (реструктуризация и консультирование) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ГЧП/Инфраструктурные проекты группа Защита персональных данных группа Корпоративное право/Слияния и поглощения (mid market) группа Семейное и наследственное право группа Трудовое и миграционное право группа Частный капитал группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (консультирование) группа Ритейл, FMCG, общественное питание группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Финансовое/Банковское право группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) 7место По количеству юристов 16место По выручке 20место По выручке на юриста , рассказал о ситуациях, когда по закону необходимо уничтожить персональные данные: компания достигла цели обработки, или утратила такую необходимость, или выявлен факт неправомерной обработки, или согласие на обработку отозвали. Зыков рассказал, что оператор заранее должен предусмотреть порядок уничтожения персональных данных. Часто юристы советуют назначать комиссию, ответственную за это. Зыков говорит, что это может быть постоянно действующая комиссия либо можно собираться при необходимости.

Единственная рекомендация — включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»

Дмитрий Зыков

Зыков говорит, что важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.

Василий Зуев, руководитель практики «Интеллектуальная собственность» Интеллектуальный капитал Интеллектуальный капитал Федеральный рейтинг. группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (регистрация) группа Уголовное право группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Банкротство (споры mid market) , рассказал о системе защиты коммерчески значимой информации. По его словам, некоторые сведения нельзя отнести к коммерческой тайне и отказаться их предоставлять. Например, сведения об аккредитациях и лицензиях, о задолженности работодателей по выплате зарплаты, а для некоммерческих организаций еще и о размерах и структуре доходов. А вот коммерческой тайной можно признать сведения о предметах и целях совещаний, стратегии рекламных мероприятий, о подготовке к судебным спорам.

Эксперт рассказал и о способах защиты таких сведений. Наиболее востребованные — соглашение о неразглашении и пункт договора о том, что его конкретные сведения нельзя сообщать третьим лицам. При этом за нарушение предусматривается неустойка. 

Грядущие изменения

С 1 марта 2023 года операторам связи придется сообщать Роскомнадзору о трансграничной передаче персональных данных. Пока не до конца ясно, как будут действовать поправки, и рынок частично находится в неведении. Поэтому Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф Клифф Федеральный рейтинг. группа Защита персональных данных группа Цифровая экономика группа Интеллектуальная собственность (регистрация) группа Налоговое консультирование и споры (консультирование: mid market) группа Ритейл, FMCG, общественное питание группа ТМТ (телекоммуникации, медиа и технологии) группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (mid market) 42место По выручке , ждет, что до вступления новых правил в силу Роскомнадзор выпустит какие-то разъяснения.

Порядок передачи зависит от того, обеспечивает ли страна адекватную защиту прав субъектов персональных данных. 23 сентября этого года Роскомнадзор сообщил, что утвердил перечень таких государств — в него вошли 89 стран. Если государство не включено в этот список, то нужно получать разрешение на трансграничную передачу персональных данных. А когда страна вошла в реестр, достаточно лишь уведомить РКН.

Минцифры предлагает ужесточить ответственность юрлиц за утечки персональных данных клиентов — ввести оборотные штрафы в зависимости от выручки компании. Пока законопроекта нет в публичном доступе, говорит Мария Самарцева, советник, глава практики защиты интеллектуальной собственности Рыбалкин, Горцунян, Дякин и Партнеры Рыбалкин, Горцунян, Дякин и Партнеры Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Комплаенс группа Международные судебные разбирательства группа Международный арбитраж группа Рынки капиталов группа Санкционное право группа Финансовое/Банковское право группа Частный капитал группа Энергетика группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ГЧП/Инфраструктурные проекты группа Корпоративное право/Слияния и поглощения (high market) группа Недвижимость, земля, строительство (high market) группа Недвижимость, земля, строительство (споры) группа Природные ресурсы группа Семейное и наследственное право группа ТМТ (телекоммуникации, медиа и технологии) группа Транспортное право группа Уголовное право

Появилась некая тенденция, связанная с утечками данных. Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит чаще извне, чтобы каким-то образом причинить репутационный вред компании.

Мария Самарцева

Только за три летних месяца этого года в сеть попало не менее 140 баз данных российских организаций, привела данные Самарцева. Основная причина успешных сливов — несовершенство технической базы. Поэтому, по ее словам, инициатива была ожидаемой. Аналогичные штрафы для компаний есть и в других странах. 


Деловой сезон Право.ru в самом разгаре. Вот список ближайших конференций: