C 1 сентября вступают существенные изменения в Федеральный закон № 152-ФЗ «О персональных данных». Поправки коснуться 99% бизнеса.
Защита персональных данных уже давно перестала быть прихотью компаний с раздутым бюджетом или маркетинговым ходом для привлечения клиентов к IT-сервисам; персональные данные сейчас – это то, что невозможно игнорировать каждому бизнесу.
Законодательные требования к защите персональных данных неуклонно расширяются и усложняются; не успевая проверить на практике эффективность одних нововведений, на смену им приходят следующие.
Вступающие с 1 сентября изменения направлены на усиление контроля над деятельностью всех операторов персональных данных (независимо от их размера, объема обрабатываемых данных, категорий субъектов персональных данных).
1. Необходимость подачи уведомления об обработке персональных данных в Роскомнадзор.
До 1 сентября большинство компаний, обрабатывающих данные работников, контрагентов – физических лиц, обрабатывающие только ФИО, или только для целей соблюдения пропускного режима, освобождались от направления уведомлений в Роскомнадзор о начале обработки персональных данных. Это существенным образом упрощало соблюдение законодательства и позволяло с учетом риск-ориентированного подхода откладывать внутренний комплаенс соблюдения 152-ФЗ до лучших времен.
С 1 сентября откалывать больше не получится, поскольку расширен перечень операторов, обязанных подавать уведомления в Роскомнадзор. Так, экспансия новых норм привела к тому, что уведомление необходимо будет подавать всегда, за исключением ограниченного числа случаев: обработка данных только в государственных информационных системах; только неавтоматизированная обработка; либо в целях транспортной безопасности.
Большинство компаний точно не смогут себя отнести к одной из 3 групп, а, следовательно, будут вынуждены подать уведомление в Роскомнадзор, на основании которого компания будет включена в реестр операторов.
Перечень информации, приводимой в уведомлении, также расширится. Для корректного заполнения уведомления необходимо провести аудит внутренних процессов и проанализировать: состав обрабатываемых данных, категорию данных, категорию субъектов, правовое основание обработки, перечень действий с данными, способы обработки.
Уведомления будут подаваться по обновленной форме. Роскомнадзор уже разместил проект приказа, содержащий новые формы уведомлений. Срок обсуждения проекта приказа – до 15 сентября 2022 года.
2. Обеспечение взаимодействие с ГосСОПКА и борьба с утечками.
По информации Роскомнадзора, не менее 40 крупных утечек из баз персональных данных, произошедших в России с начала 2022 года, скомпрометировали свыше 300 миллионов записей. Все это не могло не повлиять на активное создание парламентариями механизмов борьбы с утечками.
Так, появилась норма о том, что с 1 сентября каждый из операторов обязан обеспечить взаимодействие с ГосСОПКА и информировать о фактах утечек ФСБ (только в части компьютерных утечек) и Роскомнадзор (по любым видам инцидентов). Порядок обеспечения взаимодействия определяется уполномоченными органами, но пока таких нормативных актов нет.
Примечательно, что в 152-ФЗ отсутствует понятие «утечки», что делает его чрезвычайно широким термином. Так, утечкой считается любой инцидент с персональными данными, произошедший без наличия на то правовых оснований (то есть это как умышленные неправомерные действия, так и случайные события).
Поскольку законодатели продолжает работу в направлении борьбы с утечками и широко обсуждается вопрос о введении оборотных штрафов за утечки, становится очевидными, что противодействие утечкам должно стать одним из важных направлений работы любого оператора.
Операторам необходимо иметь в виду следующее:
— негативные последствия от выявления утечек напрямую зависят от того, насколько чувствительные данные утекли. В этой связи операторам необходимо проанализировать характер обрабатываемых данных и необходимость обработки существующего объема данных;
— необходимо наладить мониторинг утечек – на регулярной основе проверять уязвимости систем, работать с сотрудниками, отслеживать Даркнет, СМИ, соцсети;
— отличной идеей является data mapping, позволяющий заранее снизить негативные последствия от возможных утечек, поскольку данные разносятся по различным базам и риск утечки полных данных о субъекте существенно снижается.
3. Согласие на обработку персональных данных – собираем по-новому.
С 1 сентября собираемое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. На первый взгляд может показаться, что два новых критерия (предметность и однозначность) это синонимы уже существующих, однако это не совсем верно.
Предметность – соответствие содержания согласия целям обработки.
Однозначность – отчетливое намерение субъекта дать согласие.
Фактически, теперь любые согласия (не только те, для которых была обязательна письменная форма, но и иные – на сайтах, в приложениях) должны будут отвечать требованию «1 цель – 1 согласие». Объединение согласия на рекламную рассылку с согласием на взаимодействие с клиентом теперь будет запрещено. Объем собираемых данных на каждой форме сбора должен отвечать тем целям, для которых предоставляются данные.
При этом под каждой формой сбора согласий потребуется свой чек-бокс (что важно – незаполненный). Операторам необходимо актуализировать формы согласий и пересмотреть процессы сбора.
Кроме того, в момент получения согласия оператор должен обеспечить возможность субъекту ознакомиться как с текстом согласия, так и с политикой по обработке персональных данных (размещение политики «в подвале» сайта теперь будет не достаточно).
4. Срок реагирования на запросы субъекта персональных данных сокращен.
Новая редакция 152-ФЗ сокращает сроки реагирования на запросы субъекта с 30 дней до 10 рабочих дней (с возможностью продления на 5 рабочих дней).
В этой связи операторам потребуется:
— актуализировать сроки реагирования в политиках, локальных актах по персональным данным и в согласиях;
— довести до сведения ответственных сотрудников изменения в законе;
— не забыть поправить сроки в сервисах автоматизации процессов (разного рода help-desk системах, напоминающих сотрудникам о сроках выполнения задач).
Наряду с изложенными выше изменениями вносятся поправки в части трансграничной передачи данных, обработки данных по поручению, а также в части ведения реестров по обработке персональных данных. Необходимо принять тот факт, что интерес государства к регулированию персональных данных с одновременным усилением юридической ответственности, неизбежно приведет к росту затрат компаний на соблюдение требований 152-ФЗ (а для многих еще и GDPR), а также к необходимости привлечения квалифицированных специалистов для налаживания процессов обработки персональных данных и обучения сотрудников.
