Персональные данные: новое в России и за рубежом в мае 2022
вернуться
Аналитика
03.06.2022

За последнюю неделю появились новые законодательные акты и их проекты в отношении обеспечения безопасности персональных данных. Меры направлены на усиление защиты персональных данных граждан РФ, и в данном обзоре мы рассмотрим принятые и планируемые изменения.

Изменения в КоАП РФ

На днях Президент РФ подписал Федеральный закон № 145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях».

Теперь статья 14.8 КоАП РФ дополнена пунктом 7 следующего содержания:

«Отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если предоставление персональных данных является обязательным в соответствии с федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами или непосредственно связано с исполнением договора с потребителем, -

влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей».

Федеральный закон вступит в силу 1 сентября 2022 года.

Вышеописанный законодательный акт перекликается с принятыми в апреле Государственной Думой изменениями в статью 16 Закона Российской Федерации «О защите прав потребителей», которые запрещают принудительный сбор персональных данных.

Оборотные штрафы

Минцифры России в конце мая сообщило о подготовке законопроекта о введении оборотных штрафов за утечки персональных данных клиентов. Законопроект подразумевает, что для компании штраф за утечку ПД теперь составит 1% от её годового оборота и может вырасти до 3% в случае, если организация не уведомит Роскомнадзор об утечке в течение суток. Возможно, именно такие штрафы заставят организации усилить меры по защите данных своих клиентов. Напомним, что за утечку персданных более 6 млн пользователей сервиса «Яндекс.Еда» компания получила штраф 60 тыс. руб.

Изменения в 152-ФЗ «О персональных данных»

24 мая 2022 с целью дополнительной защиты персональных данных граждан РФ Государственная дума в первом чтении приняла закон, который вносит поправки в ФЗ-152 «О персональных данных». В том числе, операторы ПД будут обязаны немедленно информировать о кибератаках и утечках данных. О необходимости принятия законодательных мер, обязывающих сообщать об утечках данных, мы неоднократно писали в наших ежегодных исследованиях утечек информации ограниченного доступа, в том числе, и в последних: по России и миру за 2021 год.

Помимо обязанности уведомлять об инцидентах, законом предусмотрены следующие изменения:

  1. Сокращение сроков выполнения запросов органов власти и граждан по проблемам, связанным с незаконной обработкой персональных данных, с 30 до 10 дней.
  2. Установление запрета на отказ гражданам в оказании услуг, если они не готовы предоставить свои персданные.
  3. Введение ограничения на обработку биометрических персональных данных несовершеннолетних.
  4. Уполномоченные органы власти получат возможность вмешиваться в вопросы обработки персональных данных граждан РФ на территориях других государств.
  5. Введение обязанности операторов ПД информировать уполномоченные органы власти о намерении трансграничной передачи персданных. В некоторых случаях такая передача может быть ограничена.

Разногласия

В законопроекте больше всего сомнений у операторов персональных данных вызвали изменения в отношении трансграничной передачи данных. По мнению Национального совета финансового рынка (НСФР), новые меры существенно повысят регуляторную нагрузку на операторов ПД, и особенно – на кредитные организации. Если законодательный акт будет принят в текущем виде, то банкам придется сообщать в Роскомнадзор о каждом трансграничном денежном переводе. Также любое электронное письмо российского банка, отправляемого иностранному контрагенту, будет являться трансграничной передачей данных, о которой также будет необходимо уведомлять. На данный момент НСФР направил свои предложения и корректировки в законопроект, и Минцифры России проработает все предложения при подготовке текста проекта ко второму чтению.

Таким образом, ждем новую редакцию документа, о которой сообщим в последующих новостях.

Китай

Стоит отметить, что в Китае в отношении передачи персональных данных приняты схожие с российскими меры. В конце 2021 года вступил в силу закон, в котором изложены требования к трансграничной передаче персональных данных. Для того, чтобы осуществить такую передачу, компании должны пройти оценку и получить сертификат соответствия правилам безопасности ПД от уполномоченных органов власти. Об этом мы писали здесь.

В середине мая 2022 года в Китае был внесен на обсуждение проект Руководства, которое регулирует вопросы прохождения сертификации для трансграничной передачи данных.

В частности, проект Руководства требует назначение в организации лица, ответственного за защиту персональных данных, и создание подразделения по защите персональных данных с каждой стороны, участвующей в трансграничной передаче.

Оператор должен будет информировать субъект персональных данных о цели, сроке хранения и типе данных, которые будут переданы за границу, а также получить индивидуальное согласие от каждого субъекта.

Оператор ПД в Китае также несет ответственность за компенсацию в случае, если трансграничная передача данных нанесет ущерб интересам субъекта персональных данных.

Обе стороны, участвующие в трансграничной передаче персональных данных, подлежат надзору со стороны китайского уполномоченного органа. Также если на территории иностранных государств происходит обработка персональных данных граждан Китая, иностранные компании обязаны соблюдать китайское законодательство и подчиняться юрисдикции Китая.