Изменения в законе о персональных данных: к чему готовиться?

Дата: 01.08.2022. Автор: RTM Group. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Изменения в законе о персональных данных: к чему готовиться?

С первого сентября этого года вступит в силу большой пакет изменений в закон 152-ФЗ от 27.07.2006г. «О персональных данных». В данном материале Евгений Царев, управляющий RTM Group, разберет, кого они коснутся в первую очередь и к чему готовиться организациям, обрабатывающим ПДн.

Сокращен список операторов, которые могут не уведомлять Роскомнадзор об обработке персональных данных

До недавнего времени закон предусматривал ряд случаев, в которых операторы ПДн могли не уведомлять регулятора о том, что ведется обработка данных. Так, можно было не делать этого, если:

  • ПДн обрабатываются в рамках трудовых отношений, и работодатель данные по сотруднику никуда не передает (например, фиксирует в журнале время прихода сотрудника с именем, фамилией и паспортными данными);
  • когда персональные данные обрабатываются для исполнения договора с физическим лицом/лицами (например, университет заключает договор с одним из родителей студента на оплату обучения в ВУЗе);
  • когда персональные данные относятся к участнику религиозного или общественного объединения и обрабатываются этим же объединением (например, Клуб любителей йоги собирает сведения своих участников);
  • когда физическое лицо дало согласие на распространение своих данных (например, на распространение данных со своей страницы в социальной сети);
  • когда обрабатываемыми данными являются только фамилия, имя и отчество;
  • когда данные обрабатываются с целью однократного пропуска физического лица на территорию организации, которая осуществляет обработку данных.

Но с первого дня осени исключений из общих правил обработки ПДн станет гораздо меньше. И не уведомлять регулятора станет возможным только в следующих случаях:

  • персональные данные обрабатываются для государственных электронных ресурсов, созданных для защиты государства и общественного порядка (например, если данные обрабатываются в системе по оповещению граждан о чрезвычайных происшествиях);
  • если оператор обрабатывает персональные данные только на бумаге;
  • если обработка персональных данных предусмотрена законами о транспортной безопасности, для обеспечения безопасности транспортного комплекса государства, защиты общества в этой сфере.

Таким образом, мы видим, что предыдущих исключений больше нет, а новые связаны, в основном, с госресурсами. То есть теперь сведения о каждом выписанном на проходной пропуске для гостей с ПДн надо передавать в РКН. О сборе данных всех родителей и детей школ, детских садов, вузов, кружков и специальных учреждений нужно уведомлять регулятора. И даже если зафиксировали только имя и фамилию. И даже если физическое лицо дало согласие на обработку своих персональных сведений. B представить сложно, какие потоки информации в ближайшее время пойдут в Роскомнадзор. И сколько временных и иных затрат это потребует от компаний, так или иначе осуществляющих обработку данных посетителей, клиентов, покупателей, партнеров, участников и т.д.

Запретят отказывать клиентам в оказании услуги из-за непредоставления персональных данных

Внушает надежду то, что с первого сентября также вводится новое правило, по которому оператор не сможет отказать клиенту-физическому лицу в обслуживании или оказании услуги, если тот не дал согласие на обработку своих данных или не предоставил биометрические данные. Почему это кажется положительным моментом? Потому, что наверняка организации прямо или косвенно начнут намекать клиентам отказываться от предоставления ПДн, чтобы самим избежать волокиты с заполнением различных форм. Но такое условие имеет оговорку: операторы должны предоставлять услуги при отсутствии ПДн только если законом не предусмотрен обязательный порядок получения данных. Когда это необходимо? Обязательный сбор данных предусмотрен, например, при осуществлении правосудия, оперативно-разыскной деятельности. Поскольку в повседневной жизни мы сталкиваемся с этим не так часто, данное нововведение можно считать некоторым послаблением.

Появится обязанность уведомлять о передаче персональных данных за границу

Если до недавнего времени операторы подавали единое уведомление в Роскомнадзор об обработке персональных данных, то теперь о трансграничной передаче придется сообщать отдельно. Примером может служить передача ПДн от кадрового агентства для трудоустройства лица за пределами России. В таком случае агентство передает персональные сведения потенциальному работодателю, а тот обязуется такие данные принять для обработки и защищать должным образом.

Уведомление о трансграничной передаче должно будет содержать дату проведения обработки данных оператором, а также оценку условий по сохранению их конфиденциальности в иностранном государстве. На основе чего проводить такую оценку, пока непонятно. То есть она может носить лишь субъективный характер и производиться в произвольной форме.

Безусловно, такое нововведение существенно усложняет процесс передачи данных за границу, а также создает дополнительную нагрузку на операторов. Им придется не просто делать двойную работу, а еще и проводить специальную оценку условий конфиденциальности. То есть фактически их вынуждают делать мало на чем основанные предположения, а ведь нести ответственность в случае возможных нарушений придется серьезно. Представим ситуацию, при которой российское отделение международной школы верховой езды собирает ПДн своих учеников и передает иностранным коллегам для организации соревнований, к примеру. И положительно оценивает конфиденциальность хранимых в материнской организации данных. Происходит утечка, сведения российских учеников попадают в открытый доступ. Несложно догадаться, кого привлекут к ответственности в данном случае. Есть ли у такого сотрудника возможность предугадать возникновение инцидента или помешать ему? Никакой. То есть запросить список защитных мер у иностранных коллег возможно, но только это значительно усложнит взаимодействие с ними, а в итоге не принесет никакой пользы.

Появится обязанность уведомлять Роскомнадзор уведомлять об атаках

С начала осени операторы будут обязаны уведомлять Роскомнадзор о произошедших атаках (компьютерных инцидентах), которые повлекли за собой утечку данных. Сообщение о произошедшем инциденте должно направляться в течение 24 часов с момента его начала. В течение 72 часов оператор обязан уведомить о результатах внутреннего расследования утечки информации и описать предпринятые действия. Считается, что такие требования будут способствовать тому, что организации станут ответственнее относиться к расследованию инцидентов. С другой стороны, эта обязанность существенно увеличит документооборот между операторами и Роскомнадзором, ведь уведомлять придется об абсолютно любом инциденте, а это трата драгоценного времени, которое могло бы быть потрачено на устранение его последствий.

Сократился срок ответов на запросы физических лиц

С первого сентября сократится срок, в течение которого оператор должен отвечать на запросы об обрабатываемых персональных данных. Если ранее он составлял 30 дней, то теперь сократится до 10 дней. В исключительных ситуациях срок возможно будет продлить еще на 5 дней.

Сокращение сроков позволит лицам, направившим запрос, более оперативно получать ответы. Однако это негативно скажется на процессе работы операторов, поскольку спровоцирует дополнительную нагрузку. Организации, которые активно получают запросы, вынуждены будут нанять дополнительных сотрудников для этих целей, что означает расходы.

Указанные изменения, с одной стороны, существенно усложнят процесс обработки данных организациями-операторами, однако, есть надежда на то, что внимание к сохранности наших данных станет более пристальным, а количество инцидентов снизится.

Ну что ж, осенью тысячам организаций предстоит взять на себя дополнительную нагрузку. Конечно, можно сказать, что это не для всех, что правки касаются только тех, кто обрабатывает персональные данные. Но нововведения расширяют круг операторов. И сегодня уже почти все компании, которые хоть как-то взаимодействуют с внешним миром и клиентами, должны погрузиться в бесконечные «бумажки». Подготовиться к обработке и осуществлять ее, не нарушая закон, довольно непросто. Поэтому мы можем рекомендовать всем, кто отнесен к категории операторов, озадачиться применением мер для выполнения требований законодательства согласно указанным поправкам.

Для того, чтобы обеспечить грамотное выполнение законодательства, есть два основных пути: нанять квалифицированного сотрудника, который будет активно следить за соблюдением норм законодательства, либо заключить контракт с организацией на аутсорсе, оказывающей подобные услуги. Зарплата среднего специалиста в этой сфере (как и аутсорс) обойдется организации примерно в 100 тыс. руб., а штраф может превысить несколько сотен тысяч и даже миллионы рублей. Поэтому выбор очевиден.

Об авторе RTM Group

RTM Group — ведущая консалтинговая компания в области информационной безопасности, судебной экспертизы и ИТ-права.
Читать все записи автора RTM Group

Добавить комментарий

Ваш адрес email не будет опубликован.