Персональные данные с 1 июля 2022 года: ужесточение ответственности и штрафов

1 сентября для бизнеса начнут действовать новые нормы о сборе персональных данных клиентов — Госдума внесла их в закон о защите прав потребителя. Заголовки СМИ об этом «запрете» взволновали маркетологов — но безосновательно, считает IT-юрист, управляющий партнёр «Рунетлекс» Павел Мищенко. На вебинаре EMAILMATRIX он объяснил, что эти поправки означают для бизнеса на самом деле.

В этой статье — конспект выступления, а видеозапись можно получить по ссылке или через форму под текстом.

Что не изменится

Новая редакция статьи 16 закона устанавливает: продавец не вправе отказать в товаре или услуге потребителю, который не предоставил персональные данные (далее — ПД), если они не нужны для исполнения договора. Другими словами, бизнес не может делать предоставление дополнительных данных условием сделки.

Однако профильный закон о ПД (принят в 2006 году) и так гласит: «Обработка ПД должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД». Нельзя собирать избыточные данные — это основополагающий принцип закона о ПД, который теперь продублирован и в законе о защите прав потребителей.

Например, для доставки пиццы нужны номер телефона и адрес, а для аренды самоката — номер телефона и ФИО. Если на сайте пиццерии технически нельзя сделать заказ без указания емейла, семейного положения и вкусовых предпочтений, а сервис проката требует фотографии всех заполненных страниц паспорта — это нарушения. Были таковыми до новых поправок и остаются ими.

С юридической точки зрения в законодательстве ничего не изменилось. Продолжает действовать принцип «Не бери то, что не нужно для исполнения договора».

Раньше обращение с ПД регулировалось в основном профильными законами — а теперь и законом прав потребителей. Похоже, накопилось достаточно случаев сбора избыточных данных в интернет-магазинах и на маркетплейсах, чтобы власти решили урегулировать этот аспект.

Покупатели смогут запрашивать цель сбора любых ПД, и продавцы будут обязаны ответить за 7 дней или, при устном обращении, немедленно. Контролировать это будет Роспотребнадзор — ведомство, которое в целом занимается потребительскими вопросами. Вероятно, оно и раньше получало подобные жалобы, но не могло ничего предпринять — и вот получило инструмент.

Реальные последствия для бизнеса — появляются ещё один контролирующий орган (Роспотребнадзор) и ещё один возможный штраф. За одно нарушение с юрлица взыщут от 30 до 50 тысяч рублей — дополнительно к «старым» 60–100 тысячам по законодательству о ПД.

Что осталось за рамками поправок

Новые нормы касаются только потребителей, то есть тех, кто приобретает товары и услуги для личных нужд. Когда человек покупает в интернет-магазине лопату для дачи, поправки действуют. Когда он заказывает там же 20 лопат для своей фирмы по рытью канав — уже нет.

Соответственно, новшества вообще не затрагивают компании, работающие в B2B. Но на них по-прежнему распространяется закон о ПД.

Поправки никак не влияют на емейл- и другие рассылки. Правила остаются прежними:

• Нельзя делать предоставление адреса и согласие на рассылку обязательным условием сделки.
• Нельзя предустанавливать галочки в чек-боксах: пользователь должен сам дать активное согласие.
• Нельзя прятать согласие в другие документы: практика показывает, что за это штрафуют.
• Нужны отдельные согласия на обработку ПД и на получение рассылки. Это два самостоятельных действия, которые контролируют разные органы: соответственно Роскомнадзор и антимонопольная служба. Штрафы ФАС ощутимей.

Если пользователь написал, что не хочет получать рассылку, — отключите и сообщите ему об этом. По опыту, люди сначала стараются по-хорошему договориться с компанией и только при неудаче идут жаловаться государству. Для бизнеса это закончится объяснениями с ФАС и штрафом в 100–500 тысяч рублей.

Всё, что нужно делать с рассылками с точки зрения этих законов, — это правильно брать согласие и вовремя отключать, если пользователь просит.

Весна отметилась серией критических нарушений закона о ПД: в открытый доступ попали данные клиентов нескольких крупных компаний. При этом административный штраф первой из них — «Яндексу» — составил 60 тысяч рублей.

Сумма несопоставима с масштабом утечки и чувствительностью слитых ПД. И хотя этой цифрой «Яндекс» не отделается (есть коллективные иски от самих пользователей), стало понятно, что государство плохо регулирует этот вопрос.

Минцифры готовит законопроект об оборотных штрафах по европейскому образцу. Согласно ему, наказание за утечку ПД клиентов составит 1% от годового оборота компании. Это очень болезненно.

Проще работать с ПД не станет. Государство хоть и с опозданием, но будет реагировать на новые проблемы: ужесточать штрафы, повышать требования к прозрачности.

У потребителей есть законное право вернуть магазину просроченный товар и получить назад заплаченные деньги. Фактическое исполнение раньше было плохим (как сейчас с ПД): покупатель униженно доказывал просрочку, 20 минут ждал чека да ещё мог напороться на хамство.

Однажды «Вкусвилл» объявил, что без проблем вернёт деньги за товары, — не только за некачественные, но и за те, что не понравились по вкусу. Магазин добавил к законодательной норме свою и заметно повысил лояльность клиентов.

Сегодня у бизнеса есть такая же возможность получить конкурентное преимущество за счёт работы с ПД. Настройте прозрачное управление согласиями для пользователей — и используйте это как маркетинговый ход.

На Западе так уже делают:

Фрагмент политики конфиденциальности приложения Flo. Компания разговаривает о данных дружелюбно: понятным языком, с хорошим оформлением, картинками

Концепт простого интерфейса для управления согласиями в подростковой соцсети

Ответы на вопросы

— То есть раньше сферу ПД контролировал Роскомнадзор, а сейчас ещё и Роспотребнадзор?

— Роспотребнадзор будет частично контролировать работу с ПД пользователей, покупающих товары для себя. Его задача — чтобы продавцы не отказывали в заключении договоров без избыточных данных.

— Кто будет определять критерии обоснованности? И как доказывать, что не обосновали?

Думаю, и Роспотребнадзор, и Роскомнадзор будут оценивать обоснованность сбора данных довольно объективно.

— Нужно ли будет редактировать текущие политики работы с ПД и вносить туда обоснования сбора?

— Цели сбора ПД и так должны быть в политике и в согласии пользователя. Но на фоне поправок стоит проверить свои документы: прочитать свежим взглядом, попробовать переписать как на примере. Серьёзных требований к оформлению политики конфиденциальности нет, это локальный документ. Чем она понятнее и точнее, тем меньше вопросов будет у потребителей и контролирующих органов.

Вот пример такой политики конфиденциальности из нашей практики.

Подпишитесь на рассылку EMAILMATRIX, чтобы узнавать о следующих вебинарах. О чём вы хотите услышать на них? Пишите на team@emailmatrix.ru или в Telegram-канал.

Что меняется в обработке персональных данных с 1 сентября 2022 года

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

• Ф.И.О.;
• дата рождения;
• адрес регистрации и адрес проживания;
• паспортные данные, СНИЛС, ИНН;
• номер телефона;
• e-mail;
• адрес страницы в соцсетях;
• контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

До -50% на популярные тарифы. Подключите сервис интернет-отчетности по самой выгодной цене.

Выбрать скидку→

Разъяснения к Федеральному закону о внесении изменений в ФЗ “О персональных данных” (№ 266 от 14.07.2022)

Федеральный закон № 266-ФЗ от 14 июля 2022 вносит множество изменений в основной закон о работе с персональными данными № 152-ФЗ. Изменения касаются всех участников процесса — от операторов и сторонних обработчиков персональных данных (ПДн) до регуляторов и органов государственной власти.

Закон № 266-ФЗ о внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее № 266-ФЗ) получился достаточно объёмным — 46 страниц.

При этом одни нововведения радикально меняют правила игры для компаний, другая часть имеет второстепенный характер и не потребует существенных изменений в процессах, третья — так или иначе уже вошла в практику, но была зафиксирована «в бумаге». В этой статье мы проанализируем пункты, которые абсолютно точно должны учитывать компании в своей деятельности.

Их не очень много, но общую картину подходов к защите персональных данных они поменяли достаточно заметно.

1. Необходимо детализировать перечень персональных данных

Одно из первых изменений в законе касается состава персональных данных, которые оператор получает от субъекта и передаёт на обработку третьим лицам. Если раньше закон требовал указывать только действия, которые будут совершаться с данными, и цели обработки, то теперь нужно чётко прописывать перечень данных.

Это касается и поручений на обработку ПДн, которые оператор даёт третьим лицам, и прямого взаимодействия с субъектом данных — ему теперь нужно сообщить состав обрабатываемых персональных данных, если они получены не от самого субъекта.

Это достаточно логичное нововведение — субъект должен быть в курсе, с какими именно его данными проводятся операции. В рамках нашей проектной практики мы всегда рекомендовали заказчикам указывать такой перечень, теперь это нужно делать в обязательном порядке.

2. Роскомнадзор должен знать обо всех случаях обработки ПДн

Это коснётся практически всех — меняется логика уведомлений Роскомнадзора, которые раньше во многих случаях можно было не отправлять.

Самые частые кейсы — при обработке данных сотрудников и при заключении с субъектом договора, который не предусматривает распространение и передачу персональных данных третьим лицам.

Кроме того, предусматривались случаи, когда ПДн включали в себя только ФИО субъекта или оператор собирал данные для организации однократного пропуска на территорию оператора и др.

Всё это теперь исключается из закона. Новая редакция оставляет всего два сценария, когда обрабатывать данные можно без ведома Роскомнадзора:

1. Работа государственных информационных систем по охране безопасности и общественного порядка.
2. Обработка ПДн без каких-либо средств автоматизации.

Эти ситуации такие редкие, что их можно опустить. Абсолютному большинству компаний следует подготовить новые уведомления.

3. Логика документации исходит от целей обработки

Это очень важное нововведение, которое потребует значительных изменений у многих организаций.

Теперь, когда оператор разрабатывает документы, определяющие его политику в отношении обработки персональных данных, например, локальные акты или организационно-распорядительную документацию, то для каждой цели обработки следует перечислять целый набор сведений — от перечня ПДн и сроков их обработки до порядка их уничтожения. Полный список сведений достаточно обширный и приведён в пункте 10 № 266-ФЗ.

Мы же можем только порадоваться за своих заказчиков, поскольку iTPROTECT уже 5 лет разрабатывает документы именно по таким «лекалам».

Другим компаниям следует внимательно пересмотреть свою документацию и удостовериться, что она расписана в соответствии с целями обработки ПДн.

Наша практика показывает, что в большинстве случаев документация формируется в связи с субъектами или же всё отдельно — субъекты, цели, действия. Теперь Роскомнадзор, инициатор изменений, явно указал, какой подход является предпочтительным и верным.

Кстати, это касается и уведомлений из предыдущего пункта. Они теперь тоже зависят от целей — категории персональных данных и субъектов, правовые основания обработки, перечень действий с ПДн в документ включать не нужно. Здесь тоже есть много деталей, которые можно почитать в пункте 14 (б) № 266-ФЗ.

4. Последствия нарушений и борьба с утечками

Новый закон устанавливает порядок оценки негативных последствий, которые могут наступить для субъектов ПДн из-за нарушений № 152-ФЗ «О персональных данных» от 27.07.2006.

Раньше единого взгляда на такую оценку не было, операторы с интеграторами разрабатывали собственные методы. Теперь в законе прописано, что проводить её нужно по требованиям Роскомнадзора.

Конкретные требования пока не анонсированы — будем следить за новостями от регулятора.

В пункте 11 мы видим воплощение в реальность давних ожиданий всего рынка. Теперь оператор персональных данных обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

При этом необязательно интегрироваться технически — как нам сообщает регламент самой ГосСОПКА, сообщить об инциденте можно и по телефону, и по почте.

Порядок передачи информации в дальнейшем определят совместно федеральные органы исполнительной власти и уполномоченные органы безопасности.

Возможность введения штрафов пока только обсуждается, но в любом случае всем операторам ПДн лучше обновить свои инструкции для ответственных за обработку персональных данных лиц. Что считать инцидентом, а что нет, — этот вопрос пока открыт, так как здесь ситуация может сильно отличаться от одной компании к другой.

Также, наконец, произошло то, о чём много говорили в последние месяцы: необходимо сообщать Роскомнадзору обо всех утечках в течение 24 часов. А в течение 72 часов оператор персональных данных обязан уведомить о результатах внутреннего расследования по инциденту и виновниках утечки, если таковые есть. Последствия пока не обозначены, но почти наверняка будут определены позднее.

Также стоит отметить, что перед регулятором нужно отчитываться об устранении фактов противоправной обработки ПДн. Этот момент тоже необходимо отразить в инструкциях.

5. Ужесточается трансграничная обработка ПДн

Седьмой пункт № 266-ФЗ кардинально меняет вопрос регулирования передачи персональных данных за границу, и эти обновления нужно внимательно изучить всем компаниям, которые в своих процессах сталкиваются с такими задачами. Здесь много важных деталей. Например, что оператор может / не может / должен делать до начала обработки ПДн или как Роскомнадзор решает, куда можно / нельзя передавать данные.

Например, добавляется обязанность оператора запрашивать у иностранных обработчиков персданных сведения об их защите. Также нужно отдельно уведомлять Роскомнадзор о трансграничной обработке ПДн.

Это самостоятельный документ, выступает в качестве дополнения к стандартному оповещению о самом факте обработки, в нём необходимо прописывать даты обработки персданных и оценку условий по сохранению конфиденциальности данных за рубежом.

Форму документа, обязанности ответственного, например, по подготовке и отправке его регулятору и другие, связанные с трансграничной передачей данных, тоже нужно прописывать в организационных документах.

Здесь же отмечу, что в законе появляется новая шестая статья: если оператор поручает обработку иностранным физическим и юридическим лицам, эти третьи лица тоже несут ответственность перед субъектом.

Какие последствия эта ответственность понесёт для иностранных юрлиц, пока непонятно, ведь федеральный закон не является трансграничным и не распространяется на другие страны.

Но тем не менее, такая норма теперь есть.

6. Взаимодействие со сторонними обработчиками ПДн

Детализированы меры, которые оператор может принимать в отношении третьих лиц, которым он передаёт персональные данные — появляется утверждённая законом возможность убедиться, что данные остаются в безопасности при обработке.

Теперь такие организации обязаны в течение периода работы с ПДн по запросу оператора «предоставлять документы и иную информацию» для подтверждения того, что меры по защите действительно были приняты.

Это касается и иностранных лиц из предыдущего пункта.

В прежней редакции № 152-ФЗ «О персональных данных» устанавливалась следующая цепочка ответственности: оператор отвечает за безопасность данных перед субъектом, а сторонние обработчики — перед оператором. Теперь же сказано, что сторонний разработчик обязан обеспечивать безопасность ПДн при обработке, и что он должен уведомлять оператора о случаях неправомерной обработки данных.

Основной вывод для компаний — ранее составленные поручения на обработку персданных нужно скорректировать.

7. Срок ответа субъектам ПДн становится меньше

Пункт 8 устанавливает, насколько быстро нужно ответить субъекту ПДн на запрос по поводу «уточнения его персональных данных, их блокирования или уничтожения».

Теперь отреагировать на них необходимо в течение 10 рабочих дней (до этого статья 20 № 152-ФЗ позволяла готовить ответ в течение 30 дней). При этом уточняется, что обозначенный срок можно продлить, направив «мотивированное уведомление с указанием причины».

Ещё одно небольшое нововведение заключается в том, что субъект теперь может, помимо прочего, запрашивать информацию о способах исполнения оператором своих обязанностей.

В своей проектной практике мы всегда готовим для заказчиков отдельный регламент работы с субъектами персональных данных, в котором прописывается порядок ответов на запросы и предоставления такой информации. Соответственно, при наличии подобных регламентов в организации — необходима их корректировка.

8. Изменение работы с биометрическими данными 

Пункт под номером 6 дополняет статью 11 № 152-ФЗ, которая касается биометрических данных. Теперь оператор не вправе отказывать в обслуживании субъекту, если тот отказывается предоставлять свою биометрию.

На это нововведение стоит обратить особое внимание банкам, которые используют в своих приложениях вход по отпечатку пальца или FaceID. Если клиент не желает это использовать, отказать в услугах нельзя.

К тому же нередко биометрические данные собираются для контроля доступа, например, на территорию предприятия — теперь заставлять сотрудников сдавать свои отпечатки пальцев или создавать 3D-модель лица официально нельзя.

На практике этот момент можно с легкостью обойти, поэтому данный пункт можно отнести к не самым существенным. Однако на уровне согласия на обработку персданных лучше прописывать необязательность сдачи биометрических данных.

Если в вашей организации этот момент уже учтён, то и документы менять не придётся.

Когда мы начнём жить по-новому

Изменения вступают в силу не сразу и не одновременно.

Изменения в регулировании трансграничной передачи ПДн, сроках подтверждения факта удаления ПДн, введение новых механизмов уведомлений, оценки последствий по методике Роскомнадзора начнут действовать с 1 марта 2023 года. Другие нормы заработают уже 1 сентября. Подробности о том, когда какие пункты станут актуальными — написано в статье 6 этого закона.

Подводя итог, можно отметить, что времени остаётся не очень много, но и работа тоже предстоит вполне подъёмная. По своему опыту могу сказать, что значительная часть требований так или иначе уже была реализована в практических процессах. По крайней мере, мы в своих проектах зачастую уже работали по логике, которая теперь закреплена законодательно.

Как работать с персональными данными после 1 сентября 2022: новые требования

С 1 сентября 2022 года начнут действовать новые нормы сбора персональных данных. Вступят в силу поправки в закон «О защите прав потребителей» (от 07.02.1992 № 2300-1). Продавцам (исполнителям, владельцам агрегаторов) запретят отказывать покупателям в заключении, исполнении и расторжении договора при отказе последних предоставить персональные данные.

За несоблюдение нормы будут штрафовать. Соответствующую меру предусматривает Федеральный закон от 28.05.2022 № 145-ФЗ, которым были внесены поправки в статью 14.8 КоАП.

Новые нормы призваны пресечь принудительный сбор продавцами персональных данных покупателей в целях, не связанных с предметом договора.

Какие ПД считаются избыточными

Представление персональных данных не может фигурировать в качестве условия сделки. Продавец не может отказаться продать товар или оказать услугу по той лишь причине, что покупатель не хочет предоставить персональные данные, которые для исполнения договора фактически не требуются. Об этом говорится в обновлённой статье 16 Закона «О защите прав потребителей».

Помимо этого, есть положение закона «О персональных данных» от 27.07.2006 N 152-ФЗ, где говорится, что «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых законных целей». Обработка персональных данных, несовместимая с целями их сбора, недопустима.

Что это значит

Продавец может запросить некоторые персональные данные, но только те, которые необходимы для исполнения договора. Избыточные данные собирать нельзя.

Например, для сервиса доставки еды нужны адрес и номер телефона заказчика.

Но если на сайте доставщик предлагает дополнительно заполнить пункты о семейном положении или представить фотографии всех страниц паспорта, и это обязательное условие. Налицо — нарушение.

Такой принцип работал и до внесения поправок.

Что конкретно изменится для бизнеса и покупателей

Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».

Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.

Когда можно требовать ПД

Персональные данные для заключения договора можно потребовать в двух случаях.

• Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
• В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.

Когда нельзя

Вне закона окажутся требования предъявить паспорт при возврате денег за товар, указать ФИО или электронную почту при покупке товара. Все эти данные можно получить и использовать только с согласия покупателя.

• На сколько оштрафуют
• Для бизнеса новый закон выливается в появление ещё одного контролирующего органа в лице Роспотребнадзора и ещё одного возможного штрафа.
• За одно нарушение оштрафуют:

• организацию — от 30 до 50 тысяч рублей;
• должностное лицо организации и ИП — от 5 до 10 тысяч рублей.

Покупатель покупателю — рознь

Новые нормы касаются потребителей, покупающих товары для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. Например, если вы покупаете самокат для индивидуального использования, поправки действуют. А если покупаете 30 самокатов для организации кикшеринга — уже нет.

Новшество не затронет компании, работающие B2B, но на них по-прежнему будет распространяться закон о персональных данных.

Как работать с рассылками после 1 сентября 2022

На e-mail и других видах рассылок поправки существенно не отразятся. По-прежнему нужно придерживаться правил.

Четыре табу: что нельзя

1. Требовать указать адрес и дать согласие на рассылку в качестве обязательного условия сделки.
2. Предустанавливать галочки в чекбоксах, пользователь должен сделать это добровольно сам.
3. «Вшивать» и прятать согласие на рассылку в другие документы.
4. Объединять согласие на обработку персональных данных и согласие на рассылку. Это два отдельных действия. Их контролируют разные ведомства: Роскомнадзор и ФАС соответственно.

Если пользователь хочет отписаться от рассылки, отключите и уведомьте его об этом. В противном случае это может закончиться объяснениями с ФАС и штрафом. Это касается как обезличенных, так и личных писем. Обращение по ФИО в письме не спасёт. Антимонопольщики придерживаются мнения, что даже с применением такой «хитрости» письмо останется рекламным.

Если договор заключён раньше 1 сентября 2022

Новые требования будут распространяться на все договоры, в том числе те, которые были заключены раньше 1 сентября. При этом если для соблюдения новых условий пришлось изменить договор, а покупатель понёс убытки, продавец должен полностью их компенсировать.

Учтите все новые требования законодательства и работайте с клиентами без ошибок и штрафов.

О типовых нарушениях законодательства в области персональных данных, способах минимизировать риски и избежать нарушений, нововведениях законодательства и новых правилах проведения надзорных проверок Роскомнадзором расскажем на семинаре: «Как организовать работу с персональными данными в компании: новые требования законодательства, ответственность за несоблюдение, претензии Роскомнадзора».

Юристы объяснили новые правила работы с персональными данными — новости Право.ру

Госдума принимает новые поправки в закон «О персональных данных», чтобы обеспечить их безопасность и предотвратить сливы. Операторов обяжут закупить дорогостоящее оборудование и информировать ФСБ обо всех инцидентах, повлекших утечку. Роскомнадзор получит право «запирать» персональные данные россиян внутри страны. Но это поставит под угрозу IT-компании и многие другие интернет-бизнесы. А еще законопроект в случае его принятия сделает ЕГРН закрытым реестром. Юристы сомневаются в эффективности обсуждаемых поправок и предупреждают о негативных последствиях.

Несмотря на постоянное совершенствование законодательных норм по работе с персональными данными, громкие утечки все равно происходят. В марте в сети оказалась информация о клиентах «Яндекс Еды», и все желающие смогли узнать, сколько денег на еду тратит его сосед. А в начале мая данные утекли из «Гемотеста». В открытом доступе оказались не только имена, фамилии, адреса и номера телефонов клиентов лаборатории, но и их полные истории болезни, а также сведения о тестах на ВИЧ. Подобные утечки случаются регулярно и в последнее время все чаще, поэтому власти вынуждены принимать все новые меры, чтобы предотвратить утечки и сливы.

20 мая Владимир Путин заявил: «Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в частности за счет более строгого контроля правил использования служебной техники, коммуникаций, связи».

А 24 мая Госдума приняла в первом чтении новый пакет поправок в закон «О персональных данных». Положения законопроекта направлены на определение порядка взаимодействия бизнеса с государственными органами относительно персональных данных.

Еще одна цель поправок — обеспечить экстерриториальную защиту информации о российских гражданах.

Например, поправки предусматривают, что клиенту нельзя отказать в предоставлении услуг, если он не хочет давать согласие на обработку персональных данных в случаях, когда необходимости в них нет.

Компаниям станет сложнее манипулировать потребителями, которым больше не придется предоставлять свои данные в обмен, например, на участие в бонусной программе, объясняет смысл запрета советник Федеральный рейтинг.

группа Арбитражное судопроизводство (крупные споры — high market) группа Экологическое право группа Антимонопольное право (включая споры) группа Банкротство (включая споры) (high market) группа Земельное право/Коммерческая недвижимость/Строительство группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение группа Интеллектуальная собственность (Консалтинг) Профайл компании
Анастасия Сивицкая.

Законопроект направлен на защиту прав субъектов персональных данных, поэтому он неизбежно ужесточит регулирование для бизнеса, комментирует руководитель цифровой группы Федеральный рейтинг.

группа Антимонопольное право (включая споры) группа Арбитражное судопроизводство (средние и малые споры — mid market) группа ВЭД/Таможенное право и валютное регулирование группа Земельное право/Коммерческая недвижимость/Строительство группа Интеллектуальная собственность (Регистрация) группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Налоговое консультирование и споры (Налоговые споры) группа Трудовое и миграционное право (включая споры) группа Цифровая экономика группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Природные ресурсы/Энергетика группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Экологическое право группа Банкротство (включая споры) (mid market) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа ТМТ (телекоммуникации, медиа и технологии)
Полина Бардина. Большая часть изменений касается взаимодействия бизнеса с Роскомнадзором и другими ведомствами.

За границу — с разрешения властей

Руководитель практики интеллектуальной собственности и персональных данных юридической фирмы Федеральный рейтинг.

группа Интеллектуальная собственность (Регистрация) группа Налоговое консультирование и споры (Налоговое консультирование) группа Частный капитал группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Корпоративное право/Слияния и поглощения (mid market) группа ТМТ (телекоммуникации, медиа и технологии) 12место По количеству юристов 25место По выручке на юриста (более 30 юристов) 44место По выручке
Ирина Ахмедова отмечает важность новых правил трансграничной передачи персональных данных. Их оператор должен будет заранее уведомить Роскомнадзор о каждой такой передаче. Сейчас в ведомство нужно сообщать только о стране, в которую передают информацию. По новым правилам нужно будет раскрывать контактные сведения получателя данных и сведения о мерах по защите передаваемых данных.

Кроме того, в уведомлении необходимо будет указать информацию о правовом регулировании в области персональных данных иностранного государства, под чьей юрисдикцией находится получатель, если предполагается передача данных на территорию страны, не обеспечивающей нужного уровня защиты. Это требование обяжет российских операторов привлекать юристов, разбирающихся в законодательстве зарубежных стран, или даже зарубежных юристов, что обернется значительными тратами, объясняет Ахмедова.

Эти поправки серьезным образом усложнят жизнь бизнеса: теперь перед каждым случаем трансграничной передачи новому лицу необходимо будет заранее уведомить Роскомнадзор, а также согласовать с ведомством принимаемые меры защиты.

Ирина Ахмедова

Более того, Роскомнадзор может просто запретить передавать данные за рубеж, если увидит необходимость защиты нравственности, здоровья и интересов граждан, а также «основ конституционного строя Российской Федерации и безопасности государства».

Законопроект дает РКН 30 дней на рассмотрение уведомлений. То есть деятельность компаний на это время «замораживается», объясняет Ахмедова. Эксперт ожидает, что страдать от этого будут как операторы, так и субъекты персональных данных, с согласия и в интересах которых необходима передача.

Must-read Пользовательские соглашения: зачем нужны и почему их не читают

Хотя формально порядок уведомительный, в практике применения этих норм стоит ожидать неприятных сюрпризов, уверен руководитель практики «Медиаправо» юридической фирмы Федеральный рейтинг.

группа Цифровая экономика группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Регистрация) группа ТМТ (телекоммуникации, медиа и технологии) 15место По количеству юристов 24место По выручке на юриста (более 30 юристов) 40место По выручке Профайл компании
Михаил Хохолков.

Эти поправки станут актуальными для IT-компаний, у которых часть штата разработчиков работает за пределами России, отмечает юрист. Ахмедова предупреждает об усложнении работы, которая и вовсе может быть заблокирована.

Информаторы ФСБ

Все операторы должны будут подключиться к системе ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и информировать ФСБ обо всех инцидентах, повлекших утечку персональных данных. «Это предложение вызвало наибольшую волну критики со стороны бизнеса.

Взаимодействие с системой означает не только дополнительные траты для операторов, но и повышенную нагрузку на функциональность системы», — комментирует Бардина. С критикой инициативы выступила Российская ассоциация электронных коммуникаций (РАЭК), в которую входят «Ростелеком», VK, «Лаборатория Касперского», Samsung, Microsoft и другие.

В организации заявили о существенных затратах на строительство защищенных каналов связи со средствами криптографической защиты.

Эта инициатива не нова, напоминает Ахмедова. Ее придумали еще в 2020-м, но тогда от идеи отказались в процессе принятия законопроекта № 107043-1.

Тогда помогло возмущение бизнеса, и подключение стало носить рекомендательный характер.

Теперь к идее вернулись, а законопроект уже поддержан Минцифры, поэтому, по оценке юриста, высока вероятность, что на этот раз нормы все-таки примут и мнение бизнеса учитывать не будут. Хотя он, как и раньше, против.

Уже стали традиционными вебинары с участием специалистов РКН, которые излагают мнения о предстоящих изменениях в законе «О персональных данных». Думаю, и в этот раз правоприменительная практика будет формироваться по «вебинарному праву».

Михаил Хохолков

Закрытый ЕГРН

Персональные данные из Единого государственного реестра недвижимости (ЕГРН) будут предоставляться третьим лицам только с согласия субъекта таких данных либо по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица «в целях защиты его прав и законных интересов». У владельца недвижимости остается право раскрыть свои персональные данные всем желающим: для этого ему необходимо обратиться в Росреестр с соответствующим заявлением.

Новый порядок получения данных из ЕГРН хоть и позволит ограничить получение таких сведений третьими лицами, но не защитит от взломов и утечек, отмечает старший юрист адвокатского бюро Федеральный рейтинг.

группа Санкционное право группа Семейное и наследственное право группа Частный капитал группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа Корпоративное право/Слияния и поглощения (high market) группа Международные судебные разбирательства группа ТМТ (телекоммуникации, медиа и технологии) группа Арбитражное судопроизводство (крупные споры — high market) Профайл компании
Вера Зотова. Как и не обеспечит удаление персональных данных, уже попавших в открытый доступ.

Теперь приобретаемую недвижимость будет сложнее проверить на предмет различных обременений, что плохо скажется на сделках с ней, уверена Сивицкая. По мнению юриста, поправки нарушают принципы действия реестра, который должен быть открытым и публично достоверным. Получение сведений из реестра затруднится, а в цепочке действий неизбежно будет задействован нотариус.

✔ Операторов обяжут в течение 10, а не 30 дней отвечать на запросы, связанные с незаконной обработкой персональных данных.✔ У граждан появится право требовать прекратить ее обработку — операторам дают на это месяц.✔ Компании будут обязаны уведомлять РКН об утечках в течение 24 часов.

В этот срок необходимо установить причину инцидента, оценить предполагаемый вред и уведомить регулятора о мерах по устранению последствий.✔ Российское законодательство о персональных данных по задумке авторов законопроекта должно действовать и за пределами России.

Законопроект предусматривает возможность вмешательства уполномоченных органов власти в вопросы обработки персданных российских граждан на территории других государств. Как это будет реализовано — непонятно.

✔ Сокращается перечень случаев, когда не требуется уведомлять Роскомнадзора об обработке персданных.

«Это, по сути, приведет к тому, что все без исключения компании будут обязаны направлять такое уведомление», — предупреждает партнер, руководитель Санкт-Петербургского офиса Федеральный рейтинг.

группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг)
Екатерина Смирнова.

Утечки продолжатся

Новые положения способны ограничить сбор персональных данных и облегчить устранение последствий утечек, уверена Зотова. В то же время такие положения в меньшей степени направлены на ликвидацию причин и предотвращение самих таких ситуаций.

Дело в том, что вопросы безопасности персональных данных скорее технические и социальные, чем правовые.

Как показывает практика, чаще всего сливы случаются из-за действий конкретных сотрудников компании, которые хотят продать данные на стороне, добавляет Бардина. Кроме того, все чаще случаются кибератаки на инфраструктуру операторов.

Закон может только усилить ответственность за неправомерную обработку данных, но не предотвратить утечки, отмечает Хохолков.

«Правовые методы позволяют своевременно привести деятельность операторов в соответствие требованиям законодательства и если не устранить риск утечки полностью, то как минимум снизить негативные последствия для операторов и субъектов персональных данных в будущем», — комментирует Бардина.

Вряд ли можно говорить о ситуации, когда мы полностью исключим утечку данных каким-либо способом. Это все равно что мечтать, что усовершенствование уголовного законодательства полностью исключит преступность.

Екатерина Смирнова

В правовом поле бороться с утечками сложно, соглашается Сивицкая. Способы, который действительно работают, ≈ ужесточение технических требований и наказаний. «Депутаты неоднократно поддерживали оборотные штрафы. Думаю, что такое ужесточение не за горами», — напоминает Хохолков.

Практика Персональные данные: как юристу работать с ними

После принятия поправок вряд ли можно говорить о новых возможностях для предотвращения утечек, считает Ахмедова. Разве что подключение к ГосСОПКА обяжет операторов приобрести технические средства защиты персональных данных, что позволит поднять уровень защиты. 

Смирнова уверена, поправки скорее создадут дополнительную нагрузку на бизнес, вызванную необходимостью соблюдения многочисленных бюрократических процедур: зачастую трудновыполнимых, затратных и излишних.

Не совсем ясно, как дополнительное уведомление оператора о трансграничной передаче данных поможет не допустить утечку, отмечает эксперт, а полномочия Роскомнадзора, который сможет по своему усмотрению запретить такую передачу, и вовсе создает угрозу развитию интернет-бизнеса.

• Госдума
• Законопроект
• Интеллектуальная собственность