В последнее время в законодательство в сфере персональных данных были внесены значительные изменения, которые могут существенно повлиять на бизнес-процессы компаний. Какие наиболее важные нововведения нужно учесть?
В статье рассмотрим следующие вопросы:
- Экстерриториальность
- Новые требования по уведомлению регулятора об обработке персональных данных
- Уточнены требования к локальным нормативным актам
- Дополнены требования к согласию на обработку персональных данных
- Обязанность информировать об утечке персональных данных
Экстерриториальность
Ранее при решении вопроса о применении российского законодательства о персональных данных в отношении иностранных компаний, не имеющих филиалов/представительств в России, использовался критерий направленности их деятельности на территорию РФ.
Учитывалось, в частности, наличие у иностранной компании сайта с информацией на русском языке, наличие локальной рекламы, возможность получения консультаций в отношении продукции, услуг иностранной компании (например, горячая линия), возможность оплаты в рублях и прочее.
С 1 сентября 2022 г. Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон) устанавливает экстерриториальное действие и распространяется на обработку персональных данных российских граждан, осуществляемую иностранными юридическими или физическими лицами на основании договоров и соглашений, стороной которых является гражданин РФ, или на основании его согласия на обработку его персональных данных.
В большинстве случаев передача персональных данных третьим лицам требует согласия их субъекта. Так, например, иностранные компании, получающие персональные данные работников своих российских дочерних обществ, обрабатывают их на основании согласия работников и обязаны соблюдать требования Закона, в том числе, по общему правилу, об их локализации в РФ. Это может потребовать существенных затрат на адаптацию бизнес-процессов и информационных систем, используемых компаниями, входящими в международные холдинги.
Новые требования по уведомлению регулятора об обработке персональных данных
С 1 сентября 2022 г. существенно сокращен перечень случаев, когда оператор вправе обрабатывать персональные данные без уведомления Роскомнадзора. Ранее это разрешалось, в частности, в соответствии с трудовым законодательством или в связи с заключением договора с субъектом персональных данных. […]
Авторы:
- Елена Агаева, советник, руководитель практики защиты персональных данных и санкт-петербургской практики M&A и корпоративного права АБ ЕПАМ
- Елена Квартникова, юрист практики защиты персональных данных АБ ЕПАМ
С полным текстом статьи можно ознакомится на сайте журнала «Акционерное общество», https://ao-journal.ru/komplaens-v-sfere-personalnikh-dannikh-izmeneniya-kotorie-nuzhno-uchest-v-rabote-kompanii (доступно по подписке).
