Злоумышленники постоянно изобретают новые способы хищений личных данных. Чтобы защитить конфиденциальность граждан, законодатели адаптируют правовые нормы, ужесточая правила хранения, обработки и передачи информации. Весной 2023 года произошли серьезные изменения, устанавливающие более строгие требования к операторам персональных данных. Юристы «РосКо» рассказывают о новых правилах.
Кого касается 152-ФЗ
Персональные данные — это любая информация, прямо или косвенно связанная с конкретным человеком или субъектом данных. Это может быть что угодно: от имени и фамилии до номера телефона, адреса электронной почты, фотографии или даже IP-адреса компьютера. В эпоху цифровых технологий обработка таких сведений стала частью практически любой деятельности.
Федеральный закон №152-ФЗ, регулирующий работу с персональными данными, затрагивает весь бизнес в России. Крупная компания или индивидуальный предприниматель — каждый получает доступ к персональным данным других лиц в той или иной форме. Важно не только иметь доступ к информации, но и знать, как с ней правильно обращаться, чтобы не нарушать закон.
Взаимодействие с персональными данными происходит на каждом шагу: при заключении договоров с партнерами, найме сотрудников, обслуживании клиентов и даже при приеме платежей за товары или услуги. Но не только клиенты и сотрудники передают информацию о себе. Например, соискатели, желающие получить работу и отправляющие свои резюме, или люди, заполняющие анкеты на сайте компании, также делятся личными сведениями. Информацию могут собирать даже некоммерческие структуры — блоги, электронные СМИ, общественные организации и др.
Понимание и соблюдение закона о персональных данных является обязательным для всех видов бизнеса в России. Это не только юридическое требование, но и важный аспект защиты прав каждого человека на конфиденциальность его личной информации.
Что изменилось
С 1 марта 2023 года вступили в силу изменения в законодательстве Российской Федерации, касающиеся защиты персональных данных. Поправки внесены в Федеральный закон от 27 июля 2006 года №152-ФЗ и затрагивают несколько ключевых аспектов, которые важно учитывать каждому, кто работает с личной информацией граждан.
Основные нововведения:
-
Подтверждение уничтожения персональных данных. Теперь организациям необходимо строго следить за тем, чтобы процедура была правильно выполнена и задокументирована.
-
Передача персональных данных в другие государства. Нововведения ужесточают правила передачи информации за пределы страны, требуя более строгого регулирования и контроля за этим процессом.
-
Сроки уведомления Роскомнадзора об изменении сведений об операторе персональных данных. Порядок уведомления стал более строгим, что требует от организаций повышенного внимания к соблюдению процедур.
-
Оценка вреда, который могут получить субъекты персональных данных в случае их утечки или неправомерного использования. Законодательство требует теперь более тщательного анализа потенциальных рисков и угроз.
-
Утечки персональных данных. Ужесточены требования к мерам по предотвращению утечек, а также к действиям в случае их происхождения.
Рассмотрим каждое из этих изменений, чтобы вы могли лучше понять их суть и применение на практике.
Трансграничная передача данных
Некоторым российским компаниям приходится передавать сведения о частных лицах за границу. Например, это происходит, когда туроператор резервирует номер в отеле за рубежом или импортер делится контактами своих сотрудников с иностранным поставщиком для заключения договора. Такая практика называется трансграничной передачей персональных данных (ТППД) и требует особого внимания, поскольку российские законы уже не действуют за пределами страны.
Роскомнадзор делит иностранные государства на две группы:
-
обеспечивающие адекватный уровень защиты информации (страны-участницы Конвенции Совета Европы №108 и другие государства, принимающие схожие меры);
-
не обеспечивающие защиты.
Раньше в страны с высоким уровнем безопасности можно было передавать сведения без дополнительных условий. С 1 марта 2023 года вступили в силу новые правила: теперь перед началом любой ТППД необходимо уведомить Роскомнадзор через специальную форму на официальном портале ведомства. Для доступа к форме потребуется учетная запись на Госуслугах. Если компания уже осуществляла ТППД до указанной даты и уведомила об этом Роскомнадзор, повторно запрашивать разрешение не требуется.
После отправки уведомления компании могут начать передачу данных в страны с адекватной защитой без ожидания подтверждения от Роскомнадзора. Однако ведомство имеет право после рассмотрения уведомления ограничить или запретить передачу. В таком случае компании придется уничтожить уже переданные сведения.
Перед подачей уведомления компания должна провести оценку соблюдения иностранными партнерами мер по защите. Это включает получение от них информации о порядке защиты данных в соответствии с законодательством. Начиная с 1 марта 2023 года, целесообразно включать в договоры с иностранными контрагентами условие о предоставлении такой информации.
Уведомление об изменениях у оператора ПД
Роскомнадзор активно следит за тем, чтобы информация об операторах была актуальной и достоверной. Для этого создан специальный Реестр, который формируется на основе уведомлений, предоставляемых самими операторами. Если в вашей компании произошли изменения, об этом необходимо сообщить Роскомнадзору.
Разберемся, о чем именно нужно информировать ведомство. Например, важными событиями считается смена названия или адреса. Также критичными являются изменения в целях обработки персональных данных, в составе самих сведений или в случае начала либо завершения трансграничной передачи (ТППД). Полный список событий, о которых нужно информировать надзорный орган, приведен в ч. 3 ст. 22.1 Федерального закона №152-ФЗ.
Ранее сообщать об изменениях в Роскомнадзор нужно было в срок до 10 рабочих дней с момента, когда событие произошло. Однако с 1 марта 2023 года правила изменились. Теперь уведомить орган нужно до 15 числа месяца, следующего за месяцем, когда произошли изменения. Это дает операторам больше времени на подготовку и отправку соответствующей информации.
Уведомлять ведомство нужно путем заполнения специальной формы. Ее можно найти на официальном сайте Роскомнадзора.
Сообщение об утечке
С осени 2022 года компании, работающие с персональными данными, обязаны сразу сообщать в Роскомнадзор о любых инцидентах, связанных с непреднамеренной или незаконной передачей информации. В марте 2023 вступил в силу новый порядок, который регламентирует, как именно должно происходить взаимодействие между Роскомнадзором и компаниями при выявлении фактов утечек.
Новый порядок сообщения об утечках зафиксирован в приказе Роскомнадзора от 14 ноября 2022 года №187. Он подробно описывает, какую информацию необходимо предоставить в первичном и последующих уведомлениях о произошедших инцидентах. Все обновленные формы уведомлений теперь доступны на официальном портале Роскомнадзора.
Кроме того, с марта 2023 года начал действовать еще один приказ — ФСБ России от 13 февраля 2023 года №77. Этот документ определяет правила взаимодействия для организаций, относящихся к критической инфраструктуре страны, а также для тех, кто использует специализированные каналы связи с Национальным координационным центром по компьютерным инцидентам при ФСБ (НКЦКИ). Такие организации теперь обязаны напрямую сообщать в НКЦКИ о любых компьютерных инцидентах в течение 24 часов после их обнаружения.
Остальным операторам достаточно информировать Роскомнадзор в соответствии с приказом №187. Ведомство, в свою очередь, будет перенаправлять сообщения о зафиксированных утечках в НКЦКИ. Эти изменения направлены на повышение уровня защиты персональных данных граждан и минимизацию последствий возможных утечек.
Уничтожение данных
Согласно ст. 21 Федерального закона №152-ФЗ, операторы обязаны прекратить обработку и уничтожить персональные данные в трех случаях:
-
если обнаружится, что сведения обрабатывались без надлежащего разрешения;
-
когда цели сбора достигнуты (например, когда соискатель уже не рассматривается на вакансию);
-
если владелец данных сам отзывает свое согласие на обработку.
С начала марта 2023 года вступили в силу новые требования, касающиеся процедуры подтверждения факта уничтожения. Теперь операторы должны документально подтверждать этот процесс с помощью акта и выписки, как указано в приказе Роскомнадзора от 28 октября 2022 года №179. Это означает, что при уничтожении бумажных копий или других физических носителей информации нужно составить акт, который будет включать все необходимые сведения в соответствии с приказом.
Если речь идет об удалении электронных данных, процесс немного сложнее. Нужна выгрузка из системы регистрации событий, которая генерируется автоматически и должна соответствовать определенным требованиям. В некоторых случаях, когда в выгрузке отсутствует нужная информация, дополнительно составляется акт.
Для облегчения процесса и обеспечения его прозрачности рекомендуется разработать и утвердить внутренний приказ о порядке уничтожения персональных данных. В этом документе следует четко указать, какие формы акта и выписки будут использоваться. С документом нужно ознакомить всех сотрудников под личную подпись. Такой подход поможет избежать возможных нарушений.
Новые правила оценки вреда
Теперь каждая организация, занимающаяся сбором и обработкой личной информации, должна тщательно анализировать, какой вред может нанести утечка. Это правило закреплено п. 5 ч. 1 ст. 18.1 Федерального закона №152-ФЗ. Подробнее о требованиях информирует также Роскомнадзор в приказе от 27.10.2022 №178.
В зависимости от того, какие именно данные обрабатываются и в каких условиях, вред от их потенциальной утечки может быть оценен как низкий, средний или высокий.
-
Высокая степень вреда. Например, если речь идет о биометрии или сведениях о несовершеннолетних, а также если данные российских граждан хранятся за пределами страны.
-
Средняя степень. Например, когда личные сведения доступны широкому кругу людей через интернет или используются для маркетинга без явного разрешения субъекта данных.
-
Низкая степень. Устанавливается для случаев обработки информации из общедоступных источников.
Оценку уровня вреда проводит специально назначенная комиссия или ответственное лицо внутри организации. Важно, что результаты этой работы теперь необходимо документально оформлять и хранить. При проверке Роскомнадзор может потребовать эти документы как подтверждение, что компания серьезно относится к защите персональных данных и осознает возможные последствия их утечки.
Нововведения в законе №152-ФЗ направлены на повышение ответственности операторов за безопасность персональных данных и предполагают более тщательный подход к оценке рисков, связанных с их обработкой.