24 мая 2022 года Госдумой принят в первом чтении проект поправок к Федеральному закону № 152-ФЗ от 27.07.2006 «О персональных данных»[1], существенно меняющий правила обработки персональных данных.
Экстерриториальность
Законопроект фактически закрепляет экстерриториальное действие Федерального закона «О персональных данных».
Положения закона будут применяться к обработке персональных данных российских граждан, осуществляемой на основании соглашений между российскими и (или) иностранными органами власти, юридическими или физическими лицами («иностранные лица»), а также к совершаемым иностранными лицами действиям с персональными данными российских граждан, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных.
Пока нет понимания того, как правоприменительные органы будут обеспечивать соблюдение российского законодательства о персональных данных иностранными лицами в случае отсутствия у них какого-либо имущества или иного присутствия в России.
Ужесточение правил трансграничной передачи персональных данных
Операторы будут обязаны официально уведомить Роскомнадзор о намерении осуществить трансграничную передачу персональных данных.
Срок рассмотрения уведомления составит 30 дней. В период рассмотрения уведомления передача персональных данных возможна только в юрисдикцию, обеспечивающую адекватную защиту прав субъектов персональных данных. Перечень таких стран утверждается Роскомнадзором. Для передачи в юрисдикцию, не обеспечивающую адекватную защиту, придется ждать окончания рассмотрения уведомления Роскомнадзором.
Роскомнадзор сможет запретить или ограничить трансграничную передачу в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Иностранные лица, получившие персональные данные граждан РФ, будут обязаны соблюдать в отношении них нормы российского законодательства.
Новые правила могут существенно повлиять на процессы в различных сферах бизнеса, в частности, электронной коммерции, финансовых услуг (расчетные операции, сделки на финансовых рынках и др.), реализацию корпоративного управления и иных внутренних процедур в международных холдингах, предполагающих трансграничную передачу персональных данных.
Дополнительные требования к согласию
Предлагается установить, что согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Ужесточение обязанностей оператора
Операторы обязаны:
- непрерывно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА);
- в течение 24 часов уведомлять Роскомнадзор об инцидентах с принадлежащими им базами персональных данных;
- публиковать политики по обработке персональных данных на страницах сайта, с использованием которых осуществляется сбор персональных данных.
Новые требования к обработке биометрии и запрет понуждения к предоставлению персональных данных
Фактически запрещается обработка биометрических персональных данных несовершеннолетних в возрасте до 18 лет, за исключением отдельных специфических случаев.
По общему правилу, операторам будет запрещено отказывать в оказании услуг гражданам, которые не хотят предоставлять свои биометрические персональные данные.
В закон о защите прав потребителей недавно внесено сходное положение[2], запрещающее отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена российским законодательством или непосредственно связана с исполнением договора с потребителем.
Данная норма направлена на ограничение избыточной обработки персональных данных и неосознанного или вынужденного предоставления потребителем своих персональных данных в иных целях или в большем объеме, чем необходимо для исполнения договора.
В развитие указанной нормы 28 мая 2022 года был принят закон[3], предусматривающий административную ответственность в случае отказа заключать, исполнять, изменить или расторгнуть договор с потребителем при его отказе предоставить персональные данные.
Оборотные штрафы за утечку персональных данных
Минцифры готовит законопроект о введении оборотных штрафов за утечку персональных данных: операторов предлагается штрафовать на 1% от годового оборота. Штраф может вырасти до 3%, если оператор в течение 24 часов не сообщил Роскомнадзору об утечке данных. Законопроект планируется внести в Госдуму в ближайшее время.
РЕКОМЕНДАЦИИ
- Оцените текущие процессы и решения на предмет их соответствия действующим требованиям и принимаемым изменениям и при необходимости скорректируйте их.
- Отслеживайте изменения законодательства, разъяснения регуляторов и правоприменительную практику.
- Используйте имеющиеся возможности участия в законотворческом процессе.
Авторы: советник Елена Агаева, юрист Елена Квартникова
___________________________________________________________________________________________________
[1] Законопроект № 101234-8 О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных (https://sozd.duma.gov.ru/bill/101234-8).
[2] Федеральный закон от 01.05.2022 № 135-ФЗ «О внесении изменения в статью 16 Закона Российской Федерации «О защите прав потребителей».
[3] Федеральный закон от 28.05.2022 № 145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях».