Что нужно знать бизнесу о защите персональных данных
Изменения и тенденции
В 2022 году вступили в силу существенные изменения закона «О персональных данных». Поправки внесли в 15 из 29 статей, подсчитал Станислав Румянцев, старший юрист Городисский и партнеры Все изменения, по его словам, носят точечный характер и разъясняют много вопросов из практики. Это добавляет сложности юристам, уверен эксперт. Теперь его коллегам нужно провести аудит в своей компании и проконтролировать, учитываются ли там требования закона в новой редакции.
Румянцев подробнее остановился на самых ключевых изменениях. Так, операторам связи придется чаще уведомлять Роскомнадзор. Раньше нужно было сообщать об обработке персональных данных, но были и исключения. Согласно поправкам, большинство из исключений убрали.
С начала сентября 2022-го компании обязаны сообщать Роскомнадзору об утечках. Оператор должен сделать это в течение 24 часов, рассказала Екатерина Ефимова, начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора.
В России не было единой методики подсчета интернет-аудитории, но с 1 октября 2021 года действует ст. 12.2 закона «Об информации» («Особенности исследования объема аудитории информационных ресурсов в сети «Интернет»). Его называют законом об исследовании аудитории интернета. Подробнее о нем рассказал Михаил Хохолков, руководитель практики «Медиаправо» INTELLECT Он отметил, что изучается обширный пласт информации: сведения о каждом факте доступа к информационному ресурсу с указанием времени, типа использованного оборудования и браузера.
Хохолков заметил, что пока закон работает точечно. Есть реестр интернет-ресурсов, чью аудиторию исследуют. В него попали четыре новостных агрегатора, восемь соцсетей, 26 зарегистрированных СМИ. При этом Хохолков отметил, что норма позволяет мониторить практически любой информационный ресурс, аудитория которого больше 1000 пользователей в месяц. Даже если это не самый популярный юридический блог, то он может набрать столько просмотров, уверен эксперт. «Пока не выглядит страшно, но непонятно, что будет в будущем», — признал Хохолков.
Артем Дмитриев, руководитель практики IP, Tech & Privacy Comply, рассказал, что в их компании исследовали, как менялось законодательство, связанное с персональными данными почти в 15 странах с 2019 года. Это помогло выявить тренды в том, как меняется регулирование. В частности, повышается контроль, в том числе за утечками данных. Дмитриев ожидает, что в России оборотные штрафы за это появятся уже в этом году. Пока поправки еще обсуждают.
Наверное, в следующем году активно будет обсуждаться и уголовная ответственность за утечки персональных данных, что делает вопрос более острым.
Дмитриев отметил еще одну тенденцию: государство получает больше доступа к процессам бизнеса, и, собственно, больше возможностей для контроля бизнеса. Так, эксперта заинтересовала инициатива Минцифры о предоставлении субъектам персональных данных права отзывать согласие на их обработку через «Госуслуги». Очевидно, когда такая возможность для граждан будет запущена, государство получит возможность контролировать, кто какой запрос направил и отреагировал ли бизнес на этот запрос или нет, уверен эксперт.
Советы для бизнеса
Законодательство меняется, и бизнесу нужно знать, как себя защитить. Подробнее об этом рассказал Максим Лагутин, исполнительный директор юридической компании «Б-152». Мало лишь создать политику обработки персональных данных и положение об обработке для работников и согласия. Лагутин предлагает всегда назначать ответственного за персональные данные, а еще провести инвентаризацию обработки персональных данных и информационных систем. Это нужно, чтобы понимать, куда уходят данные, и выявить возможные риски утечки. Потом разработать дорожную карту по исправлению выявленных замечаний. По мнению Лагутина, еще бизнесу нужно выстроить порядок реагирования на запросы физлиц.
С 1 марта 2023 года у нас будет десять рабочих дней, чтобы отреагировать на запрос. А сейчас 30 дней. То есть в три раза больше.
А еще Лагутин советует заранее определить, какие действия нужно предпринять в случае отзыва согласия или утечки данных.
Свои рекомендации бизнесу дала и Баира Бембеева, старший юрист цифровой группы Пепеляев Групп С учетом вступивших изменений она советует:
провести аудит локальных нормативных актов, которые посвящены персональным данным;добавить в них данные о целях обработки персональных данных;исходя из целей определить способы, сроки их обработки и хранения;включить в локальные нормативные акты порядок уничтожения таких сведений.Дмитрий Зыков, руководитель практики правовой защиты информации Технологии Доверия, рассказал о ситуациях, когда по закону необходимо уничтожить персональные данные: компания достигла цели обработки, или утратила такую необходимость, или выявлен факт неправомерной обработки, или согласие на обработку отозвали. Зыков рассказал, что оператор заранее должен предусмотреть порядок уничтожения персональных данных. Часто юристы советуют назначать комиссию, ответственную за это. Зыков говорит, что это может быть постоянно действующая комиссия либо можно собираться при необходимости.
Единственная рекомендация — включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»
Зыков говорит, что важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.
Василий Зуев, руководитель практики «Интеллектуальная собственность» Интеллектуальный капитал, рассказал о системе защиты коммерчески значимой информации. По его словам, некоторые сведения нельзя отнести к коммерческой тайне и отказаться их предоставлять. Например, сведения об аккредитациях и лицензиях, о задолженности работодателей по выплате зарплаты, а для некоммерческих организаций еще и о размерах и структуре доходов. А вот коммерческой тайной можно признать сведения о предметах и целях совещаний, стратегии рекламных мероприятий, о подготовке к судебным спорам.
Эксперт рассказал и о способах защиты таких сведений. Наиболее востребованные — соглашение о неразглашении и пункт договора о том, что его конкретные сведения нельзя сообщать третьим лицам. При этом за нарушение предусматривается неустойка.
Грядущие изменения
С 1 марта 2023 года операторам связи придется сообщать Роскомнадзору о трансграничной передаче персональных данных. Пока не до конца ясно, как будут действовать поправки, и рынок частично находится в неведении. Поэтому Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф, ждет, что до вступления новых правил в силу Роскомнадзор выпустит какие-то разъяснения.
Порядок передачи зависит от того, обеспечивает ли страна адекватную защиту прав субъектов персональных данных. 23 сентября этого года Роскомнадзор сообщил, что утвердил перечень таких государств — в него вошли 89 стран. Если государство не включено в этот список, то нужно получать разрешение на трансграничную передачу персональных данных. А когда страна вошла в реестр, достаточно лишь уведомить РКН.
Минцифры предлагает ужесточить ответственность юрлиц за утечки персональных данных клиентов — ввести оборотные штрафы в зависимости от выручки компании. Пока законопроекта нет в публичном доступе, говорит Мария Самарцева, советник, глава практики защиты интеллектуальной собственности Рыбалкин, Горцунян, Дякин и Партнеры.
Появилась некая тенденция, связанная с утечками данных. Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит чаще извне, чтобы каким-то образом причинить репутационный вред компании.
Только за три летних месяца этого года в сеть попало не менее 140 баз данных российских организаций, привела данные Самарцева. Основная причина успешных сливов — несовершенство технической базы. Поэтому, по ее словам, инициатива была ожидаемой. Аналогичные штрафы для компаний есть и в других странах.