На кого распространяется фз 152: «На кого распространяются требования ФЗ-152 «О персональных данных»?» — Яндекс Кью

1. Необходимо детализировать перечень персональных данных

Одно из первых изменений в законе касается состава персональных данных, которые оператор получает от субъекта и передаёт на обработку третьим лицам. Если раньше закон требовал указывать только действия, которые будут совершаться с данными, и цели обработки, то теперь нужно чётко прописывать перечень данных.

Это касается и поручений на обработку ПДн, которые оператор даёт третьим лицам, и прямого взаимодействия с субъектом данных — ему теперь нужно сообщить состав обрабатываемых персональных данных, если они получены не от самого субъекта.

Это достаточно логичное нововведение — субъект должен быть в курсе, с какими именно его данными проводятся операции. В рамках нашей проектной практики мы всегда рекомендовали заказчикам указывать такой перечень, теперь это нужно делать в обязательном порядке.

2. Роскомнадзор должен знать обо всех случаях обработки ПДн

Это коснётся практически всех — меняется логика уведомлений Роскомнадзора, которые раньше во многих случаях можно было не отправлять. Самые частые кейсы — при обработке данных сотрудников и при заключении с субъектом договора, который не предусматривает распространение и передачу персональных данных третьим лицам.

Всё это теперь исключается из закона. Новая редакция оставляет всего два сценария, когда обрабатывать данные можно без ведома Роскомнадзора:

1. Работа государственных информационных систем по охране безопасности и общественного порядка.
2. Обработка ПДн без каких-либо средств автоматизации.

Эти ситуации такие редкие, что их можно опустить. Абсолютному большинству компаний следует подготовить новые уведомления.

3. Логика документации исходит от целей обработки

Это очень важное нововведение, которое потребует значительных изменений у многих организаций. Теперь, когда оператор разрабатывает документы, определяющие его политику в отношении обработки персональных данных, например, локальные акты или организационно-распорядительную документацию, то для каждой цели обработки следует перечислять целый набор сведений — от перечня ПДн и сроков их обработки до порядка их уничтожения.

Мы же можем только порадоваться за своих заказчиков, поскольку iTPROTECT уже 5 лет разрабатывает документы именно по таким «лекалам». Другим компаниям следует внимательно пересмотреть свою документацию и удостовериться, что она расписана в соответствии с целями обработки ПДн. Наша практика показывает, что в большинстве случаев документация формируется в связи с субъектами или же всё отдельно — субъекты, цели, действия. Теперь Роскомнадзор, инициатор изменений, явно указал, какой подход является предпочтительным и верным.

Кстати, это касается и уведомлений из предыдущего пункта. Они теперь тоже зависят от целей — категории персональных данных и субъектов, правовые основания обработки, перечень действий с ПДн в документ включать не нужно. Здесь тоже есть много деталей, которые можно почитать в пункте 14 (б) № 266-ФЗ.

4. Последствия нарушений и борьба с утечками

Новый закон устанавливает порядок оценки негативных последствий, которые могут наступить для субъектов ПДн из-за нарушений № 152-ФЗ «О персональных данных» от 27. 07.2006. Раньше единого взгляда на такую оценку не было, операторы с интеграторами разрабатывали собственные методы. Теперь в законе прописано, что проводить её нужно по требованиям Роскомнадзора. Конкретные требования пока не анонсированы — будем следить за новостями от регулятора.

В пункте 11 мы видим воплощение в реальность давних ожиданий всего рынка. Теперь оператор персональных данных обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). При этом необязательно интегрироваться технически — как нам сообщает регламент самой ГосСОПКА, сообщить об инциденте можно и по телефону, и по почте. Порядок передачи информации в дальнейшем определят совместно федеральные органы исполнительной власти и уполномоченные органы безопасности. Возможность введения штрафов пока только обсуждается, но в любом случае всем операторам ПДн лучше обновить свои инструкции для ответственных за обработку персональных данных лиц.

Также, наконец, произошло то, о чём много говорили в последние месяцы: необходимо сообщать Роскомнадзору обо всех утечках в течение 24 часов. А в течение 72 часов оператор персональных данных обязан уведомить о результатах внутреннего расследования по инциденту и виновниках утечки, если таковые есть. Последствия пока не обозначены, но почти наверняка будут определены позднее.

Также стоит отметить, что перед регулятором нужно отчитываться об устранении фактов противоправной обработки ПДн. Этот момент тоже необходимо отразить в инструкциях.

5. Ужесточается трансграничная обработка ПДн

Седьмой пункт № 266-ФЗ кардинально меняет вопрос регулирования передачи персональных данных за границу, и эти обновления нужно внимательно изучить всем компаниям, которые в своих процессах сталкиваются с такими задачами. Здесь много важных деталей. Например, что оператор может / не может / должен делать до начала обработки ПДн или как Роскомнадзор решает, куда можно / нельзя передавать данные.

Например, добавляется обязанность оператора запрашивать у иностранных обработчиков персданных сведения об их защите. Также нужно отдельно уведомлять Роскомнадзор о трансграничной обработке ПДн. Это самостоятельный документ, выступает в качестве дополнения к стандартному оповещению о самом факте обработки, в нём необходимо прописывать даты обработки персданных и оценку условий по сохранению конфиденциальности данных за рубежом. Форму документа, обязанности ответственного, например, по подготовке и отправке его регулятору и другие, связанные с трансграничной передачей данных, тоже нужно прописывать в организационных документах.

Здесь же отмечу, что в законе появляется новая шестая статья: если оператор поручает обработку иностранным физическим и юридическим лицам, эти третьи лица тоже несут ответственность перед субъектом. Какие последствия эта ответственность понесёт для иностранных юрлиц, пока непонятно, ведь федеральный закон не является трансграничным и не распространяется на другие страны. Но тем не менее, такая норма теперь есть.

6. Взаимодействие со сторонними обработчиками ПДн

Детализированы меры, которые оператор может принимать в отношении третьих лиц, которым он передаёт персональные данные — появляется утверждённая законом возможность убедиться, что данные остаются в безопасности при обработке. Теперь такие организации обязаны в течение периода работы с ПДн по запросу оператора «предоставлять документы и иную информацию» для подтверждения того, что меры по защите действительно были приняты. Это касается и иностранных лиц из предыдущего пункта.

В прежней редакции № 152-ФЗ «О персональных данных» устанавливалась следующая цепочка ответственности: оператор отвечает за безопасность данных перед субъектом, а сторонние обработчики — перед оператором. Теперь же сказано, что сторонний разработчик обязан обеспечивать безопасность ПДн при обработке, и что он должен уведомлять оператора о случаях неправомерной обработки данных.

Основной вывод для компаний — ранее составленные поручения на обработку персданных нужно скорректировать.

7. Срок ответа субъектам ПДн становится меньше

Пункт 8 устанавливает, насколько быстро нужно ответить субъекту ПДн на запрос по поводу «уточнения его персональных данных, их блокирования или уничтожения». Теперь отреагировать на них необходимо в течение 10 рабочих дней (до этого статья 20 № 152-ФЗ позволяла готовить ответ в течение 30 дней). При этом уточняется, что обозначенный срок можно продлить, направив «мотивированное уведомление с указанием причины». Ещё одно небольшое нововведение заключается в том, что субъект теперь может, помимо прочего, запрашивать информацию о способах исполнения оператором своих обязанностей.

В своей проектной практике мы всегда готовим для заказчиков отдельный регламент работы с субъектами персональных данных, в котором прописывается порядок ответов на запросы и предоставления такой информации. Соответственно, при наличии подобных регламентов в организации — необходима их корректировка.

8. Изменение работы с биометрическими данными 

Пункт под номером 6 дополняет статью 11 № 152-ФЗ, которая касается биометрических данных. Теперь оператор не вправе отказывать в обслуживании субъекту, если тот отказывается предоставлять свою биометрию.

На это нововведение стоит обратить особое внимание банкам, которые используют в своих приложениях вход по отпечатку пальца или FaceID. Если клиент не желает это использовать, отказать в услугах нельзя.

К тому же нередко биометрические данные собираются для контроля доступа, например, на территорию предприятия — теперь заставлять сотрудников сдавать свои отпечатки пальцев или создавать 3D-модель лица официально нельзя. На практике этот момент можно с легкостью обойти, поэтому данный пункт можно отнести к не самым существенным. Однако на уровне согласия на обработку персданных лучше прописывать необязательность сдачи биометрических данных. Если в вашей организации этот момент уже учтён, то и документы менять не придётся.

Когда мы начнём жить по-новому

Изменения вступают в силу не сразу и не одновременно. Изменения в регулировании трансграничной передачи ПДн, сроках подтверждения факта удаления ПДн, введение новых механизмов уведомлений, оценки последствий по методике Роскомнадзора начнут действовать с 1 марта 2023 года. Другие нормы заработают уже 1 сентября. Подробности о том, когда какие пункты станут актуальными — написано в статье 6 этого закона.

Подводя итог, можно отметить, что времени остаётся не очень много, но и работа тоже предстоит вполне подъёмная. По своему опыту могу сказать, что значительная часть требований так или иначе уже была реализована в практических процессах. По крайней мере, мы в своих проектах зачастую уже работали по логике, которая теперь закреплена законодательно.

ФЗ-152 – нужно ли вашей компании их соблюдать?

После введения в действие в России Закона о персональных данных № 152-ФЗ иностранные компании, работающие на российском рынке, были вынуждены принимать меры по соблюдению требований закона, чтобы избежать потенциального риска штрафов. Широкое внедрение облачных сервисов, от программного обеспечения до систем хранения, создало дополнительные проблемы совместимости — поставщики облачных услуг (CSP) также должны соблюдать требования закона для хранения данных клиентов в облаке.

Мы рекомендуем всем операторам данных, обрабатывающим российские персональные данные, проверить их соблюдение. В этой статье мы объясняем, почему это важно, особенно для компаний, выходящих на российский рынок.

Какова основная цель закона?

Федеральный закон 152-ФЗ «О персональных данных» укрепляет конфиденциальность граждан. По закону вся информация, полученная компаниями, банками, социальными сетями, интернет-магазинами и т. д. от сотрудников и клиентов, должна тщательно храниться. Передача персональных данных третьим лицам подлежит административной и уголовной ответственности. При этом для получения любой частной информации должно быть назначено уполномоченное лицо, которое будет ее обрабатывать и обеспечивать безопасность.

Под персональными данными в Законе понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Операторы данных могут осуществлять сбор персональных данных только с согласия субъекта ПДн. При этом устного разрешения часто бывает недостаточно – лучше подписать краткое соглашение или (если это сайт) предусмотреть поле с требованием поставить галочку о согласии на обработку передаваемых персональных данных.

Закон также требует, чтобы данные можно было использовать только для той конкретной цели, для которой они были собраны.

Предприятия должны принять все необходимые меры для защиты данных, а также быть прозрачными для граждан в отношении того, как они используют собранные личные данные. Граждане могут запросить посмотреть, какие данные о них хранятся в организации, а также могут запросить их удаление в любое время.

Почему это важно

Наиболее очевидным влиянием 152-ФЗ на иностранные компании является суверенитет данных. Правила локализации данных требуют, чтобы все операторы данных, работающие с персональными данными граждан России, хранили свои базы данных таких данных в России.

Это новшество затрагивает международные компании, поскольку почти все их внутреннее программное обеспечение (CRM, учетные системы, системы управления персоналом и т. д.) является глобальным и часто находится за границей. Кроме того, это важно для зарубежных веб-сервисов, не имеющих локализованных систем (таких как Twitter и Facebook). Новинка касается и разработчиков веб-сервисов, которые изначально решили локализовать системы в своих странах, хотя ориентируются на российскую аудиторию.

За несоблюдение требований по локализации, а также требований законодательства Российской Федерации в области персональных данных Роскомнадзор может заблокировать сайты или ограничить обработку персональных данных в нелокализованных базах данных. На это указано в статье 23 п. 4 Федерального закона «О персональных данных». Регулятор может проверить локализацию сайта выездными проверками, установив местонахождение базы данных, содержащей персональные данные россиян.

Помимо блокировки веб-сайта оператора данных, обрабатывающего российские персональные данные, предусмотрены финансовые санкции. Административные штрафы за несоблюдение Правил локализации данных оператором данных составляют от 2 млн до 6 млн рублей (в настоящее время примерно от 27 000 до 80 000 долларов США) при первоначальном нарушении, при повторном нарушении штраф может достигать ₽ 18 миллионов (около 240 000 долларов США).

Они также ввели штрафы для топ-менеджеров компаний (генеральный директор или генеральный директор). За первоначальное нарушение до 200 000 рублей (примерно от 1560 до 3125 долларов США), за повторное нарушение — от 500 000 до 800 000 рублей (примерно от 7800 до 12 500 долларов США).

Стоит отметить, что если деятельность иностранной организации направлена ​​на россиян, то к такой организации применяются не только требования по локализации. Также существуют и другие требования, в том числе уведомление уполномоченного органа по обработке персональных данных, публикация документа, определяющего политику оператора в отношении обработки ПДн, назначение лица, ответственного за обработку персональных данных, и т.д.

Рекомендации для иностранных компаний

Чтобы избежать штрафов и рисков блокировки интернет-ресурсов в России, рекомендуется предварительно оценить, соответствует ли ваша компания критериям для работы в России. При наличии факторов, указывающих на то, что деятельность направлена ​​против россиян, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовым к эффективному сотрудничеству с Роскомнадзором.

Linkedin отказался хранить личные данные российских пользователей на территории России и был заблокирован. История иллюстрирует потенциальные последствия, к которым могут привести иностранные компании, если они не будут соблюдать российское законодательство.

Важные изменения в российском законодательстве о защите персональных данных

Менее чем через месяц вступят в силу поправки в Закон № 152-ФЗ «О персональных данных», которые коснутся практически каждой компании. Указанные изменения внесены Федеральным законом от 14.07.2022 № 266-ФЗ; Таким образом, законодатель оставил операторам персональных данных чуть больше месяца на то, чтобы разобраться с нововведениями.

Ниже мы приводим обзор основных изменений, на которые следует обратить особое внимание. Они вступят в силу 1 сентября 2022 года.

• Увеличилось количество случаев, когда оператор должен уведомлять Роскомнадзор об обработке персональных данных. Например, при оформлении в рамках трудовых отношений они используются для оформления единого пропуска на территорию, а также в ряде других случаев.

• Дополнены требования, которые оператор должен включить в договор в случае возложения обработки персональных данных на другое лицо. Такие поручения могут быть выданы при заключении договоров по корпоративной программе ДМС, регистрации зарплатного проекта в банке, организации обучения сотрудников, организации корпоративной мобильной связи.

• Согласие субъекта персональных данных должно быть конкретным и недвусмысленным; таким образом, большинству компаний потребуется пересмотреть и изменить стандартную форму согласия.

• Сокращено время ответа на запрос субъекта персональных данных – оператор должен дать ответ в течение 10 рабочих дней. Субъект персональных данных вправе запросить информацию о выполнении оператором обязанностей, предусмотренных Законом № 152-ФЗ.

• Дополнен перечень документов, которые должны быть разработаны и приняты оператором. Помимо политики в отношении обработки персональных данных необходимы локальные акты, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки. обработки и хранения, а также порядок уничтожения персональных данных.

• Политика Оператора в отношении обработки персональных данных должна быть размещена, в том числе, на страницах сайта, на которых осуществляется сбор персональных данных. Это актуально для компаний, принимающих заявки, обращения или резюме кандидатов на своих сайтах, а также в случае использования файлов cookie.

• Об инцидентах, повлекших за собой неправомерную передачу (предоставление, распространение, доступ) персональных данных, необходимо уведомлять Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а также в течение 72 часов с момента получения результатов служебного расследования, а также дополнительно взаимодействовать с ФСБ через новую информационную систему ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

• Положения Закона № 152-ФЗ теперь распространяются на иностранных юридических и физических лиц, если они осуществляют обработку персональных данных граждан Российской Федерации на основании договора или иного соглашения, сторонами которого являются граждане Российской Федерации, либо на основании на основании согласия гражданина Российской Федерации на обработку его персональных данных.