С сентября вступают в силу поправки в закон «О персональных данных». Одно из новшеств — ужесточение штрафов за утечку, которые сейчас не превышают 100 тыс. руб. Что еще ждет компании, работающие с личными данными россиян, поясняет «Корпоративный юрист»
В июле Госдума приняла закон о внесении изменений в федеральный закон «О персональных данных» (далее — Закон № 152-ФЗ), вступающий в силу с 1 сентября 2022 года. Закон является крупнейшей реформой в области регулирования персональных данных за последние десять лет. Инициаторы реформы отмечают, что существующих законодательных механизмов оказалось недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных
Ситуация усугубляется еще и тем, что с начала 2022 года на российском рынке произошло несколько крупных утечек персональных данных.
Введение принципа экстерриториальности действия Закона № 152-ФЗ.
Широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан. Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования Закона № 152-ФЗ. Поэтому вводится принцип экстерриториальности, означающий применение Закона № 152-ФЗ к действиям с персональными данными российских граждан, совершаемым иностранными юридическими или физическими лицами.
Уведомление о трансграничной передаче персональных данных. С 1 марта 2023 года у операторов появляется обязанность по отдельному уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу.
По общему правилу, если оператор планирует трансграничную передачу на территорию иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или не включенного в специализированный перечень РКН, то такая передача недопустима до получения разрешения Роскомнадзора по итогам рассмотрения уведомления.
При этом трансграничная передача персональных данных может быть запрещена или ограничена Роскомнадзором в целях «защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене».
Ужесточение ответственности за утечки персональных данных. Сейчас штрафы не превышают 100 тыс. руб. Массовые утечки, произошедшие в первом полугодии 2022 года, обратили внимание регулятора на необходимость ужесточения мер ответственности.
Минцифры и Роскомнадзор планируют внести в ГД законопроект, предусматривающий введение оборотных штрафов. Размер оборотных штрафов определяется в зависимости от выручки компании, поэтому такие штрафы могут исчисляться миллиардами рублей.
Операторы будут обязаны в установленный законом срок уведомлять Роскомнадзор о фактах неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов. В уведомлении должны быть указаны:
1.причина инцидента;
2.предполагаемый вред, нанесенный правам субъектов;
3.лица, допустившие неправомерный или случайный доступ к персданным;
4.должны быть предприняты меры по устранению последствий.
Дополнительно появляется обязанность опе
раторов по взаимодействию с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).
Запрет необоснованного сбора персональных данных потребителей.
В мае 2022 года были приняты поправки в закон «О защите прав потребителей», среди которых немаловажное значение имеет запрет для продавцов (исполнителей, владельцев агрегаторов) на понуждение потребителей под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ или не связано с совершением сделки по реализации товаров (работ, услуг). Запрет вступает в силу с 1 сентября 2022 года. За его нарушение компании могут быть привлечены к ответственности в виде наложения административного штрафа в размере до 50 тыс. руб.
В июле Госдума приняла закон о внесении изменений в федеральный закон «О персональных данных» (далее — Закон № 152-ФЗ), вступающий в силу с 1 сентября 2022 года. Закон является крупнейшей реформой в области регулирования персональных данных за последние десять лет. Инициаторы реформы отмечают, что существующих законодательных механизмов оказалось недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных
Ситуация усугубляется еще и тем, что с начала 2022 года на российском рынке произошло несколько крупных утечек персональных данных.
Введение принципа экстерриториальности действия Закона № 152-ФЗ.
Широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан. Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования Закона № 152-ФЗ. Поэтому вводится принцип экстерриториальности, означающий применение Закона № 152-ФЗ к действиям с персональными данными российских граждан, совершаемым иностранными юридическими или физическими лицами.
Уведомление о трансграничной передаче персональных данных. С 1 марта 2023 года у операторов появляется обязанность по отдельному уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу.
По общему правилу, если оператор планирует трансграничную передачу на территорию иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или не включенного в специализированный перечень РКН, то такая передача недопустима до получения разрешения Роскомнадзора по итогам рассмотрения уведомления.
При этом трансграничная передача персональных данных может быть запрещена или ограничена Роскомнадзором в целях «защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене».
Ужесточение ответственности за утечки персональных данных. Сейчас штрафы не превышают 100 тыс. руб. Массовые утечки, произошедшие в первом полугодии 2022 года, обратили внимание регулятора на необходимость ужесточения мер ответственности.
Минцифры и Роскомнадзор планируют внести в ГД законопроект, предусматривающий введение оборотных штрафов. Размер оборотных штрафов определяется в зависимости от выручки компании, поэтому такие штрафы могут исчисляться миллиардами рублей.
Операторы будут обязаны в установленный законом срок уведомлять Роскомнадзор о фактах неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов. В уведомлении должны быть указаны:
1.причина инцидента;
2.предполагаемый вред, нанесенный правам субъектов;
3.лица, допустившие неправомерный или случайный доступ к персданным;
4.должны быть предприняты меры по устранению последствий.
Дополнительно появляется обязанность опе
раторов по взаимодействию с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).
Запрет необоснованного сбора персональных данных потребителей.
В мае 2022 года были приняты поправки в закон «О защите прав потребителей», среди которых немаловажное значение имеет запрет для продавцов (исполнителей, владельцев агрегаторов) на понуждение потребителей под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ или не связано с совершением сделки по реализации товаров (работ, услуг). Запрет вступает в силу с 1 сентября 2022 года. За его нарушение компании могут быть привлечены к ответственности в виде наложения административного штрафа в размере до 50 тыс. руб.