3 мая 2023
Комплаенс в сфере персональных данных: изменения, которые нужно учесть в работе компании | статья Елены Агаевой и Елены Квартниковой в журнале «Акционерное общество»

В последнее время в законодательство в сфере персональных данных были внесены значительные изменения, которые могут существенно повлиять на бизнес-процессы компаний. Какие наиболее важные нововведения нужно учесть?

В статье рассмотрим следующие вопросы:

  • Экстерриториальность
  • Новые требования по уведомлению регулятора об обработке персональных данных
  • Уточнены требования к локальным нормативным актам
  • Дополнены требования к согласию на обработку персональных данных
  • Обязанность информировать об утечке персональных данных

Экстерриториальность

Ранее при решении вопроса о применении российского законодательства о персональных данных в отношении иностранных компаний, не имеющих филиалов/представительств в России, использовался критерий направленности их деятельности на территорию РФ.

Учитывалось, в частности, наличие у иностранной компании сайта с информацией на русском языке, наличие локальной рекламы, возможность получения консультаций в отношении продукции, услуг иностранной компании (например, горячая линия), возможность оплаты в рублях и прочее.

С 1 сентября 2022 г. Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон) устанавливает экстерриториальное действие и распространяется на обработку персональных данных российских граждан, осуществляемую иностранными юридическими или физическими лицами на основании договоров и соглашений, стороной которых является гражданин РФ, или на основании его согласия на обработку его персональных данных.

В большинстве случаев передача персональных данных третьим лицам требует согласия их субъекта. Так, например, иностранные компании, получающие персональные данные работников своих российских дочерних обществ, обрабатывают их на основании согласия работников и обязаны соблюдать требования Закона, в том числе, по общему правилу, об их локализации в РФ. Это может потребовать существенных затрат на  адаптацию бизнес-процессов и  информационных систем, используемых компаниями, входящими в международные холдинги.

­Новые ­требования по ­уведомлению ­регулятора об ­обработке ­персональных ­данных

С  1  сентября 2022  г. существенно сокращен перечень случаев, когда оператор вправе обрабатывать персональные данные без уведомления Роскомнадзора. Ранее это разрешалось, в  частности, в  соответствии с трудовым законодательством или в связи с  заключением договора с  субъектом персональных данных. […]

Авторы:

  • Елена Агаева, советник, руководитель практики защиты персональных данных и санкт-петербургской практики M&A и корпоративного права АБ ЕПАМ
  • Елена Квартникова, юрист практики защиты персональных данных АБ ЕПАМ

С полным текстом статьи можно ознакомится на сайте журнала «Акционерное общество», https://ao-journal.ru/komplaens-v-sfere-personalnikh-dannikh-izmeneniya-kotorie-nuzhno-uchest-v-rabote-kompanii (доступно по подписке).

КЛЮЧЕВЫЕ КОНТАКТЫ

Елена Агаева

Елена Агаева

Санкт-Петербург

Елена Квартникова

Елена Квартникова

Санкт-Петербург