Реформа законодательства о персональных данных: к чему готовиться юристам
Баира Бембеева, старший юрист Цифровой группы «Пепеляев Групп», проанализировала инициативы в рамках реформы законодательства в области персональных данных и предложения об ужесточении ответственности для операторов за допущение утечек персональных данных.
В июле ГД приняла закон о внесении изменений в Федеральный закон «О персональных данных» (далее — Закон № 152-ФЗ), вступающий в силу с 1 сентября 2022 года. Закон является крупнейшей реформой в области регулирования персональных данных за последние 10 лет. Инициаторы реформы отмечают, что существующих законодательных механизмов оказалось недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных. Ситуация усугубляется еще и тем, что с начала 2022 года на российском рынке произошло несколько крупных утечек персональных данных.
Введение принципа экстерриториальности действия Закона № 152-ФЗ. Широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан. Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования Закона № 152-ФЗ. Поэтому вводится принцип экстерриториальности, означающий применение Закона № 152-ФЗ к действиям с персональными данными российских граждан, совершаемым иностранными юридическими или физическими лицами.
Уведомление о трансграничной передаче персональных данных. С 1 марта 2023 года у операторов появляется обязанность по отдельному уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу.
По общему правилу, если оператор планирует трансграничную передачу на территорию иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или не включенного в специализированный перечень РКН, то такая передача недопустима до получения разрешения Роскомнадзора по итогам рассмотрения уведомления.
При этом трансграничная передача персональных данных может быть запрещена или ограничена Роскомнадзором в целях «защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене».
Ужесточение ответственности за утечки персональных данных. Сейчас штрафы не превышают 100 тыс. руб. Массовые утечки, произошедшие в первом полугодии 2022 года, обратили внимание регулятора на необходимость ужесточения мер ответственности. Минцифры и Роскомнадзор планируют внести в ГД законопроект, предусматривающий введение оборотных штрафов.
Размер оборотных штрафов определяется в зависимости от выручки компании, поэтому такие штрафы могут исчисляться в миллиардах рублей.
Операторы будут обязаны в установленный законом срок уведомлять Роскомнадзор о фактах неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов.
В уведомлении должны быть указаны: причина инцидента, предполагаемый вред, нанесенный правам субъектов, лица, допустившие неправомерный или случайный доступ к персданным, должны быть предприняты меры по устранению последствий. Дополнительно появляется обязанность операторов по взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).
Запрет необоснованного сбора персональных данных потребителей. В мае 2022 года были приняты поправки в Закон о защите прав потребителей, среди которых немаловажное значение имеет запрет для продавцов (исполнителей, владельцев агрегаторов) на понуждение потребителей под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ или не связано с совершением сделки по реализации товаров (работ, услуг). Запрет вступает в силу с 1 сентября 2022 года. За его нарушение компании могут быть привлечены к ответственности в виде наложения административного штрафа в размере до 50 тыс. руб.
Источник: «Корпоративный юрист»
В июле ГД приняла закон о внесении изменений в Федеральный закон «О персональных данных» (далее — Закон № 152-ФЗ), вступающий в силу с 1 сентября 2022 года. Закон является крупнейшей реформой в области регулирования персональных данных за последние 10 лет. Инициаторы реформы отмечают, что существующих законодательных механизмов оказалось недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных. Ситуация усугубляется еще и тем, что с начала 2022 года на российском рынке произошло несколько крупных утечек персональных данных.
Введение принципа экстерриториальности действия Закона № 152-ФЗ. Широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан. Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования Закона № 152-ФЗ. Поэтому вводится принцип экстерриториальности, означающий применение Закона № 152-ФЗ к действиям с персональными данными российских граждан, совершаемым иностранными юридическими или физическими лицами.
Уведомление о трансграничной передаче персональных данных. С 1 марта 2023 года у операторов появляется обязанность по отдельному уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу.
По общему правилу, если оператор планирует трансграничную передачу на территорию иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или не включенного в специализированный перечень РКН, то такая передача недопустима до получения разрешения Роскомнадзора по итогам рассмотрения уведомления.
При этом трансграничная передача персональных данных может быть запрещена или ограничена Роскомнадзором в целях «защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене».
Ужесточение ответственности за утечки персональных данных. Сейчас штрафы не превышают 100 тыс. руб. Массовые утечки, произошедшие в первом полугодии 2022 года, обратили внимание регулятора на необходимость ужесточения мер ответственности. Минцифры и Роскомнадзор планируют внести в ГД законопроект, предусматривающий введение оборотных штрафов.
Размер оборотных штрафов определяется в зависимости от выручки компании, поэтому такие штрафы могут исчисляться в миллиардах рублей.
Операторы будут обязаны в установленный законом срок уведомлять Роскомнадзор о фактах неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов.
В уведомлении должны быть указаны: причина инцидента, предполагаемый вред, нанесенный правам субъектов, лица, допустившие неправомерный или случайный доступ к персданным, должны быть предприняты меры по устранению последствий. Дополнительно появляется обязанность операторов по взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).
Запрет необоснованного сбора персональных данных потребителей. В мае 2022 года были приняты поправки в Закон о защите прав потребителей, среди которых немаловажное значение имеет запрет для продавцов (исполнителей, владельцев агрегаторов) на понуждение потребителей под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ или не связано с совершением сделки по реализации товаров (работ, услуг). Запрет вступает в силу с 1 сентября 2022 года. За его нарушение компании могут быть привлечены к ответственности в виде наложения административного штрафа в размере до 50 тыс. руб.
Источник: «Корпоративный юрист»
Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q
