1 июня 2022
Правила обработки персональных данных существенно меняются

24 мая 2022 года Госдумой принят в первом чтении проект поправок к Федеральному закону № 152-ФЗ от 27.07.2006 «О персональных данных»[1], существенно меняющий правила обработки персональных данных.

Экстерриториальность

Законопроект фактически закрепляет экстерриториальное действие Федерального закона «О персональных данных».

Положения закона будут применяться к обработке персональных данных российских граждан, осуществляемой на основании соглашений между российскими и (или) иностранными органами власти, юридическими или физическими лицами («иностранные лица»), а также к совершаемым иностранными лицами действиям с персональными данными российских граждан, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных.

Пока нет понимания того, как правоприменительные органы будут обеспечивать соблюдение российского законодательства о персональных данных иностранными лицами в случае отсутствия у них какого-либо имущества или иного присутствия в России.

Ужесточение правил трансграничной передачи персональных данных

Операторы будут обязаны официально уведомить Роскомнадзор о намерении осуществить трансграничную передачу персональных данных.

Срок рассмотрения уведомления составит 30 дней. В период рассмотрения уведомления передача персональных данных возможна только в юрисдикцию, обеспечивающую адекватную защиту прав субъектов персональных данных. Перечень таких стран утверждается Роскомнадзором. Для передачи в юрисдикцию, не обеспечивающую адекватную защиту, придется ждать окончания рассмотрения уведомления Роскомнадзором.

Роскомнадзор сможет запретить или ограничить трансграничную передачу в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Иностранные лица, получившие персональные данные граждан РФ, будут обязаны соблюдать в отношении них нормы российского законодательства.

Новые правила могут существенно повлиять на процессы в различных сферах бизнеса, в частности, электронной коммерции, финансовых услуг (расчетные операции, сделки на финансовых рынках и др.), реализацию корпоративного управления и иных внутренних процедур в международных холдингах, предполагающих трансграничную передачу персональных данных.

Дополнительные требования к согласию

Предлагается установить, что согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Ужесточение обязанностей оператора

Операторы обязаны:

  • непрерывно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА);
  • в течение 24 часов уведомлять Роскомнадзор об инцидентах с принадлежащими им базами персональных данных;
  • публиковать политики по обработке персональных данных на страницах сайта, с использованием которых осуществляется сбор персональных данных.

Новые требования к обработке биометрии и запрет понуждения к предоставлению персональных данных

Фактически запрещается обработка биометрических персональных данных несовершеннолетних в возрасте до 18 лет, за исключением отдельных специфических случаев.

По общему правилу, операторам будет запрещено отказывать в оказании услуг гражданам, которые не хотят предоставлять свои биометрические персональные данные.

В закон о защите прав потребителей недавно внесено сходное положение[2], запрещающее отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена российским законодательством или непосредственно связана с исполнением договора с потребителем.

Данная норма направлена на ограничение избыточной обработки персональных данных и неосознанного или вынужденного предоставления потребителем своих персональных данных в иных целях или в большем объеме, чем необходимо для исполнения договора.

В развитие указанной нормы 28 мая 2022 года был принят закон[3], предусматривающий административную ответственность в случае отказа заключать, исполнять, изменить или расторгнуть договор с потребителем при его отказе предоставить персональные данные.

Оборотные штрафы за утечку персональных данных

Минцифры готовит законопроект о введении оборотных штрафов за утечку персональных данных: операторов предлагается штрафовать на 1% от годового оборота. Штраф может вырасти до 3%, если оператор в течение 24 часов не сообщил Роскомнадзору об утечке данных. Законопроект планируется внести в Госдуму в ближайшее время.

РЕКОМЕНДАЦИИ

  • Оцените текущие процессы и решения на предмет их соответствия действующим требованиям и принимаемым изменениям и при необходимости скорректируйте их.
  • Отслеживайте изменения законодательства, разъяснения регуляторов и правоприменительную практику.
  •  Используйте имеющиеся возможности участия в законотворческом процессе.

Авторы: советник Елена Агаева, юрист Елена Квартникова

___________________________________________________________________________________________________

[1] Законопроект № 101234-8 О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных (https://sozd.duma.gov.ru/bill/101234-8).

[2] Федеральный закон от 01.05.2022 № 135-ФЗ «О внесении изменения в статью 16 Закона Российской Федерации «О защите прав потребителей».

[3] Федеральный закон от 28.05.2022  № 145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях».

КЛЮЧЕВЫЕ КОНТАКТЫ

Елена Агаева

Елена Агаева

Санкт-Петербург

Елена Квартникова

Елена Квартникова

Санкт-Петербург