В 2022 году российское законодательство о персональных данных претерпело наиболее существенные изменения за прошедшее десятилетие. Большинство изменений уже вступили в силу с 1 сентября, оставшиеся начнут действовать с наступлением весны, 1 марта.

Что это за изменения, как к ним подготовиться, и какие риски для бизнеса они влекут, расскажет Артём Дмитриев, управляющий партнер в консалтинговой компании Comply.

Новые правила трансграничной передачи

Трансграничная передача — передача данных иностранным лицам на территорию иностранного государства. Т.е. доступ к данным должно получить (1) иностранное лицо с территории (2) иностранного государства. Проверим выполнение условий на простых, но не самых очевидных примерах:

  • Обработка данных в кадровой ИТ-системе, которая хостится на серверах в РФ, а доступ имеют иностранные компании группы. Да, это будет трансграничной передачей, хотя есть только удаленный доступ. Почему? Потому что иностранные компании получат доступ к данным за рубежом.
  • Совсем другое дело, если за рубежом данные получают не работники, например, дочерней компании, а работники филиала. В большинстве случаев здесь не будет трансграничной передачи, ведь филиал (даже иностранный) не является самостоятельным юридическим лицом.
  • Также и доступ работника-удаленщика из Турции к ИТ-системам российской компании трансграничной передачей не будет. Почему? Потому что работник, хотя и находится в Турции, не покидает при этом контур российской компании. Таким образом, данные не передаются иностранному лицу, хотя и доступны не из России.

Ранее трансграничная передача могла беспрепятственно осуществляться в (1) страны-участницы Конвенции Совета Европы № 108 (туда входит около 50 стран, в том числе большинство европейских) и (2) некоторые другие государства, которые Роскомнадзор признал «адекватными», т.е. обеспечивающими адекватную защиту прав субъектов данных. В этот перечень входит более 10 государств, включая Индию, Китай, Армению, Грузию и Узбекистан. Среди дружественных «гаваней» в перечне пока нет, например, ОАЭ.

Ранее передача данных в «неадекватные» страны в целом не была проблемой, поскольку могла осуществляться на основе письменного согласия клиента или договора с ним. Например, использование Google Analytics, при котором данные передаются в США, могло быть легализовано через пользовательское соглашение («оферту») на сайте.

Теперь трансграничная передача данных в «адекватные» страны осуществляется по следующим правилам:

В «адекватные» страныВ «неадекватные» страны
Передать можно сразу после подачи в Роскомнадзор уведомления о намерении осуществлять трансграничную передачуПередать можно только по истечении 10 рабочих дней после подачи такого уведомления, если Роскомнадзор не запретит такую передачу

Перед уведомлением Роскомнадзора компания должна собрать информацию о защите прав субъектов данных на территории страны-получателя, в т.ч.:

  • перечень законов в сфере персональных данных для «неадекватных» стран,
  • описание конкретных мер безопасности данных, принимаемых иностранными контрагентами,
  • сроки и условия прекращения обработки данных.

Такую информацию вместе с уведомлением подавать не надо, но Роскомнадзор может запросить ее в любой момент, а значит подготовить ее все равно придется.

Из интересного еще то, что Роскомнадзор вправе ограничить любую трансграничную передачу в целях защиты конституционного строя, национальной безопасности, даже нравственности и др. Такое решение может быть принято как в отношении передачи данных в конкретную страну (тогда передача в эту страну ограничивается для всех операторов), так и в отношении конкретных компаний. Например, Роскомнадзор запрещает передачу данных запрещенным и нежелательным организациям (Постановление Правительства от 16.01.2023 № 24). Поэтому использование сервисов Meta (например, аналитики Facebook) вероятно будет запрещено.

Чтобы быть в «мире» с новыми требованиями к трансграничной передаче, рекомендуем:

  • сформировать перечень третьих стран, в которые осуществляется передача (например, в реестре процессов обработки),
  • разработать формы запросов информации об условиях обработки персональных данных, запустить процедуру анкетирования всех (в т.ч. в «адекватных» странах) зарубежных контрагентов (для удобства можно предзаполнить такие запросы на своей стороне),
  • настроить систему внутреннего репортинга ответственному за обработку персональных данных обо всех иностранных контрагентах, которым планируется передача данных,
  • включить положения в договоры с иностранными получателями данных (в части предоставления сведений, оказания содействия при запросах Роскомнадзора и т.д.).

Указанные рекомендации стоит формализовать на уровне локальных нормативных актов и должностных инструкций. Не лишним будет провести тренинг для бизнес-подразделений. Также стоит помнить, что любая передача персональных данных должна иметь законное основание (см. ст. 6 Федерального закона «О персональных данных»).

Стоит ли спешить и подавать уведомление до 1 марта? Нет. Во-первых, велика вероятность направить уведомление с ошибочными сведениями, а также несовпадающими с информацией в реестре операторов Роскомнадзора. Во-вторых, до первых комментариев Роскомнадзора неизвестно, насколько гранулярным должно быть подаваемое уведомление, чтобы соответствовать ожиданиям регулятора. Поэтому правильнее будет подготовиться к подаче неспеша, чтобы не упустить возможные страны и зарубежных контрагентов и не подавать последующие уведомления.

Ответственность за неподачу уведомления предусмотрена в форме штрафа до 5 тыс. руб. (ст. 19.7 КоАП РФ). Кроме того, есть вероятность того, что такая трансграничная передача будет признана незаконной, что влечет наложение штрафа до 100 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Форма уведомления о трансграничной передаче опубликована на портале Роскомнадзора. Подать уведомление можно в бумажном виде или через портал Госуслуг (для этого потребуется зарегистрированный аккаунт, например, работника).

Удаление персональных данных

До внесения изменений законодательство не содержало требований к тому, как должно подтверждаться удаление данных. С 1 марта компания обязана фиксировать удаление данных актами либо лог-файлами (при обработке персональных данных в ИТ-системах).

Жить в «мире» с новыми правилами, не так просто, если вообще возможно. Но, как минимум, необходимо:

  • настроить процесс документирования удаления данных (в т.ч. третьими лицами), определить ответственных и процедуру подготовки актов,
  • разработать акты об уничтожении данных в соответствии с требованиями Роскомнадзора к содержанию акта для разных способов обработки,
  • внести изменения в локальные акты (кто осуществляет удаление, с какой периодичностью и т.д.) и договоры с контрагентами (обязанность удалить данные в соответствии с новыми требованиями, предоставить подтверждение удаления).

При этом не все ИТ-системы соответствуют новым требованиям к содержанию лог-файлов (ФИО, перечень категорий данных, дата уничтожения и т.д.). Например, во многих случаях указать ФИО субъектов персональных данных попросту невозможно. Для чего можно или дополнять недостающие реквизиты в актах об уничтожении, или пренебречь ими, поскольку доказать наличие ФИО должен будет Роскомнадзор, что затруднительно в отношении уничтоженной информации.

Также следует отметить, что оператор самостоятельно выбирает, как удалять данные, поэтому использовать специальные сертифицированные средства необязательно. И это хорошо, потому что были и обратные инициативы.

Прямой ответственности за отсутствие документального подтверждения удаления данных нет, но Роскомнадзор может вынести предписание об устранении нарушений, неисполнение которого, в свою очередь, уже может обернуться штрафом до 20 тыс. руб. (см. ст. 19.5 КоАП РФ).

Подробнее ознакомиться с новыми требованиями можно в Приказе Роскомнадзора № 179.

Оценка вреда субъектам

Раньше законодательство содержало лишь рамочную обязанность оператора осуществлять оценку вреда субъектам данных, не конкретизируя порядок такой оценки. В Постановлении Правительства № 1119 также упоминалось, что определение угроз безопасности должно осуществляться с учетом оценки возможного вреда. Однако процедура определения угроз никак не раскрывала эту категорию.

С 1 марта компании должны проводить оценку вреда, который может быть причинен субъектам персональных данных по новой методике, установленной Приказом Роскомнадзора № 178. Вред может быть высоким, низким или средним в зависимости от условий обработки и характера данных. Например, обработка биометрических данных или данных несовершеннолетних в случаях, не предусмотренных законодательством, влечет высокую степень вреда.

Подписанный акт с результатами оценки вреда не требует от оператора никаких дополнительных действий, но может потребоваться при прохождении проверок Роскомнадзора или при подаче ему уведомления об утечке данных, поскольку закон устанавливает, что уведомление должно содержать оценку вреда, причиненного субъектам.

Прямой ответственности за отсутствие акта оценки вреда пока также не установлено. Из возможных санкций — предписание Роскомнадзора.

* * * * *

Несмотря на большое количество новых требований, я не рекомендую поспешно выполнять их, поскольку контроль за их соблюдением в любом случае будет отсрочен. Гораздо полезнее будет постепенное и последовательное внедрение изменений во внутренние процессы компании для обеспечения полного и работающего privacy-комплаенса. Как показывает практика, поспешное внедрение станет сизифовым трудом и даже создаст новые проблемы, а существующие риски не митигирует.

Построение privacy-комплаенса следует начинать с проведения аудита всех процессов обработки данных в компании, а затем создания реестра процессов обработки данных, ведение которого не только является обязательным с 1 сентября прошлого года, но и помогает эффективно выстраивать комплаенс. Благодаря такому реестру станет понятно, какие данные и в какие страны / кому передаются, когда эти данные и как следует уничтожать, а также как оценить вред субъектам.