За последнюю неделю появились новые законодательные акты и их проекты в отношении обеспечения безопасности персональных данных. Меры направлены на усиление защиты персональных данных граждан РФ, и в данном обзоре мы рассмотрим принятые и планируемые изменения.
Изменения в КоАП РФ
На днях Президент РФ подписал Федеральный закон № 145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях».
Теперь статья 14.8 КоАП РФ дополнена пунктом 7 следующего содержания:
«Отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если предоставление персональных данных является обязательным в соответствии с федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами или непосредственно связано с исполнением договора с потребителем, -
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей».
Федеральный закон вступит в силу 1 сентября 2022 года.
Вышеописанный законодательный акт перекликается с принятыми в апреле Государственной Думой изменениями в статью 16 Закона Российской Федерации «О защите прав потребителей», которые запрещают принудительный сбор персональных данных.
Оборотные штрафы
Минцифры России в конце мая сообщило о подготовке законопроекта о введении оборотных штрафов за утечки персональных данных клиентов. Законопроект подразумевает, что для компании штраф за утечку ПД теперь составит 1% от её годового оборота и может вырасти до 3% в случае, если организация не уведомит Роскомнадзор об утечке в течение суток. Возможно, именно такие штрафы заставят организации усилить меры по защите данных своих клиентов. Напомним, что за утечку персданных более 6 млн пользователей сервиса «Яндекс.Еда» компания получила штраф 60 тыс. руб.
Изменения в 152-ФЗ «О персональных данных»
24 мая 2022 с целью дополнительной защиты персональных данных граждан РФ Государственная дума в первом чтении приняла закон, который вносит поправки в ФЗ-152 «О персональных данных». В том числе, операторы ПД будут обязаны немедленно информировать о кибератаках и утечках данных. О необходимости принятия законодательных мер, обязывающих сообщать об утечках данных, мы неоднократно писали в наших ежегодных исследованиях утечек информации ограниченного доступа, в том числе, и в последних: по России и миру за 2021 год.
Помимо обязанности уведомлять об инцидентах, законом предусмотрены следующие изменения:
- Сокращение сроков выполнения запросов органов власти и граждан по проблемам, связанным с незаконной обработкой персональных данных, с 30 до 10 дней.
- Установление запрета на отказ гражданам в оказании услуг, если они не готовы предоставить свои персданные.
- Введение ограничения на обработку биометрических персональных данных несовершеннолетних.
- Уполномоченные органы власти получат возможность вмешиваться в вопросы обработки персональных данных граждан РФ на территориях других государств.
- Введение обязанности операторов ПД информировать уполномоченные органы власти о намерении трансграничной передачи персданных. В некоторых случаях такая передача может быть ограничена.
Разногласия
В законопроекте больше всего сомнений у операторов персональных данных вызвали изменения в отношении трансграничной передачи данных. По мнению Национального совета финансового рынка (НСФР), новые меры существенно повысят регуляторную нагрузку на операторов ПД, и особенно – на кредитные организации. Если законодательный акт будет принят в текущем виде, то банкам придется сообщать в Роскомнадзор о каждом трансграничном денежном переводе. Также любое электронное письмо российского банка, отправляемого иностранному контрагенту, будет являться трансграничной передачей данных, о которой также будет необходимо уведомлять. На данный момент НСФР направил свои предложения и корректировки в законопроект, и Минцифры России проработает все предложения при подготовке текста проекта ко второму чтению.
Таким образом, ждем новую редакцию документа, о которой сообщим в последующих новостях.
Китай
Стоит отметить, что в Китае в отношении передачи персональных данных приняты схожие с российскими меры. В конце 2021 года вступил в силу закон, в котором изложены требования к трансграничной передаче персональных данных. Для того, чтобы осуществить такую передачу, компании должны пройти оценку и получить сертификат соответствия правилам безопасности ПД от уполномоченных органов власти. Об этом мы писали здесь.
В середине мая 2022 года в Китае был внесен на обсуждение проект Руководства, которое регулирует вопросы прохождения сертификации для трансграничной передачи данных.
В частности, проект Руководства требует назначение в организации лица, ответственного за защиту персональных данных, и создание подразделения по защите персональных данных с каждой стороны, участвующей в трансграничной передаче.
Оператор должен будет информировать субъект персональных данных о цели, сроке хранения и типе данных, которые будут переданы за границу, а также получить индивидуальное согласие от каждого субъекта.
Оператор ПД в Китае также несет ответственность за компенсацию в случае, если трансграничная передача данных нанесет ущерб интересам субъекта персональных данных.
Обе стороны, участвующие в трансграничной передаче персональных данных, подлежат надзору со стороны китайского уполномоченного органа. Также если на территории иностранных государств происходит обработка персональных данных граждан Китая, иностранные компании обязаны соблюдать китайское законодательство и подчиняться юрисдикции Китая.