Rambler's Top100
 
Статьи
Ольга ЕРМАКОВА  25 августа 2021

Закон № 152-ФЗ: что нового в 2021 году?

В марте 2021 года вступили в силу поправки в Федеральный закон «О персональных данных», а в июле – новые правила контроля и надзора за соблюдением законодательства о персональных данных. Чтобы выполнить новые требования, участникам рынка в очередной раз придется приложить немало усилий. 

Рассказываем, что изменилось, как соблюдать и что будет, если пренебречь.

С 1 марта 2021 года Федеральный закон № 152-ФЗ дополнился статьей 10.1, которая определяет особенности обработки персональных данных (ПДн), разрешенных субъектом данных для распространения. Нельзя сказать, что ст. 10.1 устанавливает принципиально новый подход к обработке данных, ранее не закрепленный в законе: и до марта 2021 года 152-ФЗ не позволял третьим лицам бесконтрольно использовать персональные данные субъектов; для любой обработки требовалось соблюдение условий, перечисленных в законе, в том числе соответствие характера использования цели обработки. Вместе с тем в законе отсутствовали реальные механизмы контроля самого субъекта над распространением его данных. Теперь ситуация кардинально изменилась.

Во исполнение новой нормы Роскомнадзор издал Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения», который вступает в силу 1 сентября 2021 года. Кроме того, 30 июня 2021 года ведомство запустило онлайн-сервис, позволяющий оператору ПДн подготовить шаблон формы согласия и получить рекомендации по формированию согласия. 

Загрузите обновления

Новые правила, по сути, ликвидировали понятие «общедоступные данные», заменив его новым – «персональные данные, разрешенные субъектом для распространения», и установили ряд требований к обработке указанных данных.

Если ранее обрабатывать данные, сделанные субъектом общедоступными, можно было без его согласия, то теперь, напротив, обработка данных, разрешенных субъектом для распространения, возможна лишь с его согласия. Иными словами, закон больше не придерживается концепции «молчаливого согласия» субъекта на распространение его данных, более того, он устанавливает специальные требования к согласию на обработку, а именно:
  • такое согласие должно быть получено отдельно от иных согласий;
  • требования к согласию утверждает Роскомнадзор (см. упомянутый Приказ № 18);
  • использование форм согласия на распространение данных, самостоятельно разработанных оператором ПДн, не допускается.
Не будем перегружать статью перечислением требований к согласию, ведь сейчас доступен сервис Роскомнадзора, который дает оператору ПДн возможность подготовить шаблон формы согласия, а также получить рекомендации по формированию такого согласия. Для заполнения формы потребуется учетная запись на портале госуслуг. Сформированная форма согласия приходит на указанную электронную почту в течение нескольких минут, рекомендации по формированию – в течение нескольких дней.

Тем не менее отметим три основных момента в работе с новой формой согласия:
  1. Форма согласия потребует от оператора ПДн указать информационные ресурсы, посредством которых доступ к данным будет предоставляться неограниченному кругу лиц (адрес сайта в интернете).
  2. Данные в согласии должны быть разделены на категории (общие, специальные, биометрические).
  3. В рамках каждой категории ПДн должен быть сформирован перечень, по каждому пункту которого (отдельно фамилия, имя, отчество и т.д.) субъект выражает свое согласие или устанавливает запреты или условия обработки: 
  • разрешение на распространение данных;
  • разрешение на распространение неограниченному кругу лиц;
  • условия и запреты относительно распространения конкретных данных;
  • дополнительные условия обработки указанных данных.
Несмотря на то, что выполнение этих требований потребует от операторов ПДн немалых усилий, сам подход к выражению субъектом согласия, очевидно, повысит информированность последнего при предоставлении согласия, и, кроме того, даст ему контроль над своими данными.

К получению согласия субъектов по утвержденной Роскомнадзором форме следует отнестись ответственно: если в согласии на обработку ПДн, разрешенных их субъектом для распространения, отсутствует указанная в Приказе № 18 информация, то такие персональные данные должны обрабатываться оператором без передачи неограниченному кругу лиц и без возможности осуществления ими иных действий с персональными данными.

Кроме того, публикуя данные субъектов на своем веб-сайте, оператор теперь обязан опубликовать на этом сайте и информацию о запретах на обработку и передачу ПДн, а также условия их обработки и передачи неограниченному кругу лиц. Сделать это нужно в течение трех рабочих дней после получения согласия на обработку персональных данных, разрешенных субъектом для распространения.

Кто и как почувствует

Изменения отразятся в первую очередь на ИТ-секторе: операторах сайтов и цифровых сервисов, использующих ПДн (соцсети, пользовательские приложения). Также влияние новых требований испытают на себе все компании, собирающие и обрабатывающие большие объемы общедоступных данных: образовательные и медицинские учреждения, транспортные, телекоммуникационные и финансовые компании. 

Цель понятна: ранее субъекты, делая свои ПДн общедоступными в определенных целях, сталкивались с ситуацией, когда их данные собирались третьими лицами и использовались в целях для субъекта нежелательных, а иногда и вовсе в противоправных. Изменения в законе позволят уменьшить количество как непреднамеренных утечек, так и осознанных «сливов» ПДн. 

Более строгие требования к оператору на этапе первичного сбора ПДн, а также повышение прозрачности и осведомленности участников рынка о правилах работы с данными, разрешенными субъектами для распространения, позволят вернуть субъектам контроль над своими данными и избежать негативных последствий, сопутствующих бесконтрольному движению данных, сделанных некогда общедоступными.

Кроме того, смеем надеяться, что нововведения умерят избыточную активность компаний при сборе данных: бизнес нередко превышает необходимый целесообразный минимум. 

Санкции

Нарушения требований закона в области ПДн больше не «караются» предупреждением: регулятор сразу начинает с денежных взысканий, размер которых для некоторых видов нарушений увеличился вдвое или даже втрое. 

За неправильно оформленное согласие должностное лицо в компании, курирующее вопросы данных, получит штраф 20–40 тыс. руб., а организация заплатит 30–150 тыс. руб. При повторном аналогичном нарушении сумма штрафа вырастет в два-три раза: 40–100 тыс. руб. для должностного лица и 300–500 тыс. руб. для компании.

Эти изменения лежат в русле тенденции к ужесточению наказаний, которая наблюдается последнее время в рассматриваемой сфере. В частности, в конце 2019 года были установлены многомиллионные штрафы за неисполнение требований по локализации баз данных с ПДн граждан РФ на территории России: штраф за первое нарушение для юрлиц составляет теперь 1–6 млн руб., за повторное – 6–18 млн руб.

А судьи кто?

Прослеживается также тенденция к усилению контроля за обработкой ПДн: 1 июля 2021 года вступило в силу Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных (утверждено Постановлением Правительства РФ от 29.06.2021 № 1046). Новый документ отменил действовавшие с 2019 года Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (утверждены Постановлением Правительства РФ от 13.02.2019 № 146). Напомним, административный регламент, на смену которому пришло Постановление № 146, действовал почти восемь лет, а само оно было в работе чуть менее полутора лет. Очевидно, что действия при обработке ПДн находятся сегодня в фокусе внимания регулятора, и можно с уверенностью утверждать, что тенденция сохранится.

Согласно новым правилам, при осуществлении государственного контроля за обработкой ПДн применяется система оценки и управления рисками, а само Постановление № 1046 содержит критерии отнесения объектов контроля к той или иной категории риска. Постановление определяет пять категорий риска: высокий, значительный, средний, умеренный и низкий. Это соответствует подходу к оценке и управлению рисками причинения вреда охраняемым законом ценностям, закрепленному в Федеральном законе от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Периодичность плановых проверок теперь связана с категорией риска: для компаний, отнесенных к категории высокого риска, проверка будет проводиться один раз в два года, значительного риска – раз в три года, среднего риска – раз в четыре года, умеренного риска – раз в шесть лет. Лица, деятельность которых в связи с обработкой ПДн отнесена к категории низкого риска, плановым проверкам не подвергаются.

Категории риска определяются, в частности, категориями данных, обрабатываемых операторами: компания, обрабатывающая специальные или биометрические персональные данные, будет отнесена к высокой категории риска. Информацию регулятор почерпнет в том числе из уведомлений, поданных операторами в соответствии со ст. 22 152-ФЗ.

Помимо категоризации рисков государственный контроль и надзор в этой области дополнился такими механизмами, как объявление предостережения о недопустимости нарушения обязательных требований, консультирование и профилактический визит.

Собственно проверки теперь могут проходить в трех формах: инспекционный визит, документарная проверка и выездная проверка. Сроки уведомления о проверках едины для всех форм государственного контроля и надзора и указаны в упомянутом законе № 248-ФЗ.

Выводы и выходы

Несмотря на тенденцию к увеличению штрафов, в России за нарушения в сфере ПДн пока наказывают несопоставимо мягче, чем в ЕС или США. Так, немецкая компания группы H&M, известного производителя одежды и товаров для дома, недавно была оштрафована на 35,3 млн евро за нарушения при обработке персональных данных работников.

Вместе с тем пристальное внимание российских властей к вопросам обработки данных очевидно. Чтобы не оказаться в одном списке с оштрафованными организациями, нарушившими правила работы с ПДн, необходимо предпринять ряд шагов. 

Во-первых, провести тщательный аудит бизнес-процессов, в которых задействуются персональные данные. По результатам аудита нужно принять организационные, правовые и технические меры для защиты данных, включая проектирование систем безопасности в ИТ-ресурсах компании, распределение ролей сотрудников и т.д.

Во-вторых, необходимо реформировать корпоративную культуру – в частности, выработать привычку заниматься вопросами безопасности данных постоянно. 

Ольга Ермакова, старший юрисконсульт и комплаенс-специалист, Linxdatacenter
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!