Обзор изменений законодательства в сфере персональных данных в 2015 году

Успокаивающе звучит голос некоторых юристов, которые призывают нас присесть и без паники разобрать вопрос по частям. Вслед за ними мы представляем вам обзор основных нововведений и законотворческих инициатив в сфере персональных данных, знание которых поможет бизнесу не остаться на обочине, а гражданам – понять, какие действия допустимы с их личными данными.

Уточнение толкования персональных данных и введение «права на забвение»

В Кремле считают необходимым уточнить понятие персональных данных с учетом информации, характеризующей пользователя интернета. Игорь Щеголев, помощник президента и экс-министр связи, в числе такой информации называет данные о «деятельности, перемещениях, предпочтениях и другой, не идентифицирующей, но характеризующей человека информации как персональной». Как замечают эксперты, существующее определение (ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу) охватывает эти смыслы. Однако уточняющая формулировка необходима для того, чтобы жирной линией подчеркнуть ответственность интернет-компаний перед пользователями, а также обозначить «новое» поле для деятельности Роскомнадзора.

Кроме этого, с оглядкой на страны ЕС предлагается предоставить россиянам право быть забытыми, то есть удалить личные данные из сети. Фактически действующее законодательство наделяет пользователя таким правом: он может обратиться в суд с требованием удалить данные из интернет-сервисов. Но пока в судебной практике не было ни одного прецедента подобного рода.

Формирование реестра нарушителей прав субъектов персональных данных

Реестр будет сформирован до 15 августа 2015 года. При этом в него попадут не все нарушители закона № 152-ФЗ «О персональных данных». Согласно ст. 15.5 закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в черный список войдут только те, кто нарушил законодательство в сфере персональных данных в интернете. Наглядный пример работы Роскомнадзора в этом направлении – недавняя блокировка более 60 сайтов, нарушивших закон о ПДн. Преимущественно это ресурсы, где хранились базы данных и другие справочники с личными данными россиян. По решению суда 1 марта 2015 года разоблаченные сайты переехали в единый реестр запрещенной информации и одновременно с этим были заблокированы операторами связи.

Инициатива Л. Матвиенко и Р. Гаттарова

Сущностный по своему содержанию законопроект №416052-6 в авторстве двух сенаторов нацелен сразу на нескольких проблемных направлений. Разработчики выступают за возможность предоставлять согласие на обработку персональных данных без личного присутствия субъекта, то есть дистанционно. Грядут изменения с обработкой биометрических персональных данных: согласие потребуется только на их автоматическую обработку. За счет упрощения условий трансграничной передачи данных работу облачных хранилищ планируется сделать полностью законной. Операторам предоставят право выбора модели угроз для безопасности ПДн в соответствии с профилем их деятельности. И, что важно для бизнеса, правительство намеревается взять под контроль недобросовестные организации, скрывающие факты утечки ПДн: они обязаны будут сообщать об утечках в уполномоченный орган. В обратном случае государство ответит штрафами, которые г-жа Матвиенко и г-н Гаттаров предлагают повысить многократно. Когда ждать этих изменений? Пока что проект не дошел и до первых думских слушаний.

Ужесточение штрафов за нарушение закона о персональных данных

Многократное увеличение штрафов – законотворческая инициатива Роскомнадзора. В законопроекте, который был принят в первом чтении 24 февраля 2015 года, классификация форм нарушений и штрафов дополнена восьмью новыми пунктами. В отдельных случаях денежное наказание усилят в 30 раз. Например, ведомство предлагает поднять верхнюю границу штрафа для юрлиц до 300 тыс. руб. (вместо прежних 10 тыс. руб.) в том случае, если нарушение связано с информацией о расовой и национальной принадлежности, политических и философских взглядов, состояния здоровья, интимной жизни и судимостей. Когда обработка ПДн произошла без согласия субъекта, нужно быть готовыми к выплатам от 3 (для граждан) до 50 тыс. руб. (для компаний). Далеко не все согласны с таким увеличением штрафов и в целом с принципом наказания: почему наказывается факт нарушения, а не восполняется ущерб, нанесенный субъекту? В отличие от первого в последнем случае спор решают не только оператор и регулятор, но и субъект ПДн, интересы которого должен защищать закон.

Роскомнадзор выходит из-под действия закона о защите прав юрлиц и ИП

С 1 сентября 2015 года для надзорного ведомства изменятся некоторые правила игры. Не в лучшую для бизнеса сторону. Потенциально выход Роскомнадзора из-под действия закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» приведет к тому, что проверок операторов ПДн станет больше. И это, по мнению некоторых юристов, куда серьезнее, чем широко обсуждаемый «запрет на хранение».

Чрезмерная активизация Роскомнадзора будет пресечена новым постановлением правительства, проект которого был опубликован 8 мая. В частности, в него включен запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. В целом же документ усугубляет ситуацию для бизнеса: дополнен список оснований для проведений плановых и внеплановых проверок, сокращена периодичность проверок, расширены полномочия Роскомнадзора по доступу к запрашиваемым документам. Вдобавок к этому авторы настаивают на отказе от согласования проверок с прокуратурой.

Запрет на хранение персональных данных россиян за рубежом

Закон, подписанный президентом в июле 2014 года, обязывает все интернет-компании российского рынка хранить персональные данные россиян на территории страны (см. Закон о хранении персональных данных в России). Это требование вступит в силу с 1 сентября 2015 года. И пока компании решают вопрос локализации, Роскомнадзор разрабатывает поправки в административный регламент. Во-первых, реестр операторов ПДн будет дополнен информацией о месте нахождения баз данных, а, во-вторых, изменится форма уведомления об обработке (о намерении осуществлять обработку) персональных данных. В связи с этим осенью ведомство может начать рассылку писем среди операторов, зарегистрированных в реестре, с требованием обновить информацию о местонахождении баз данных.

Отметим, что для госсектора запрет вступит в силу быстрее. С 1 июля 2015 года госорганы, органы местного самоуправления, а также государственные и муниципальные унитарные предприятия (учреждения) должны размещать базы данных в России. При этом все государственные и информационные системы должны соответствовать требованиям безопасности и быть аттестованными соответствующим образом. 

Важные замечания:

• Юристы обращают внимание на то, что действие запрета на локализацию за рубежом имеет свои ограничения. Ключевое заключается в том, что оператор должен обеспечить только запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Все остальные способы обработки данных (например, использование, доступ, передача) не локализуются в РФ.
• С 1 сентября 2015 года на территории РФ должны храниться персональные данные только новых клиентов, то есть тех, кто стал таковыми с начала вступления закона в силу. Старые данные могут храниться на том же хостинге. Однако любая манипуляция с ними (не считая чтения) влечет за собой исполнение новых норм, то есть переноса данных в РФ.
• Опасения о сложностях с бронированием авиабилетов ряд экспертов считает необоснованными. Одни указывают на то, что локализация касается только периода сбора ПДн (первичного и последующего). Запрета на передачу, предоставление, доступ или уничтожение данных за рубежом в законе нет. Следовательно, достаточно создать буфер (базу данных) в РФ, который послужит «взлетной полосой» для передачи заявок в системы глобального бронирования.
• Кадровый учет международных организаций, зарубежные ERP- и CRM-системы, банковская система международных кредитных организаций, осуществляющих деятельность в России, и др. – работа по всем этим направлениям может быть продолжена аналогично тому, как из ситуации могут выйти авиакомпании и турагентства, то есть с помощью «перевалочной» базы данных.

Некоторые случаи обработки персональных данных

В случае проведения стимулирующих мероприятий компания обязана вести персонифицированный учет участников этой кампании. Согласно НК РФ она становится налоговым агентом при цене приза более 4 тыс. руб. в год и, соответственно, должна информировать налоговую и направлять уведомления в Роскомнадзор.

Особого внимания требует анкета покупателя, которая в соответствии с постановлением правительства от 15 сентября 2008 года № 687 является типовой формой. К ней должна быть составлена инструкция по заполнению с указанием цели обработки персональных данных, сведений об операторе, источника получения данных, сроков обработки, перечня действий и общего описания действий оператора ПДн. Нарушение этого требование может повлечь ответные действия надзорного ведомства – составление акта о несоответствии порядка обработки ПДн требованиям нормативно-правового акта.

Согласие на обработку личных данных покупателей и пр. участников стимулирующих мероприятий обязательно. Для работников компании составлять отдельное согласие на обработку не нужно, поскольку они выступают сторонами трудового договора.

В то же время работодатель должен получить у работника письменное согласие на передачу данных. От покупателей такое согласие может быть получено в любой доказываемой форме, за исключением случаев трансграничной передачи данных на территорию стран, не обеспечивающих адекватную защиту прав субъектов ПДн.

Банки и страховые компании являются самостоятельными операторами ПДн, поэтому при передаче данных работников, например, в рамках системы добровольного медицинского страхования, поручение на обработку не требуется. Они получают и обрабатывают данные в соответствии с законом самостоятельно. В договоре ДМС рекомендуется закрепить согласие субъектов, уведомление о передаче данных и ответственность за соблюдение конфиденциальности.

НААР.РУ ©

фото: www.scmp.com