Международный обмен данными: уведомление без согласия
С 1 марта 2023 года вступила в силу обновленная статья 12 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». В соответствии с новыми положениями, передача личных данных за границу возможна лишь после информирования Роскомнадзора, при этом согласие пользователей на это не требуется.
Уведомление должно содержать основания и цели передачи, категории данных и перечень передаваемых сведений, информацию о странах-реципиентах и другие важные детали. Перед подачей уведомления следует запросить у иностранного партнёра данные о его мерах по защите персональных данных и оценить их способность обеспечивать конфиденциальность и безопасность. Оператор самостоятельно определяет методы такой оценки, поскольку они не оговорены в законе.
Роскомнадзор вправе административным путем ввести запрет или ограничение на трансграничную передачу данных для защиты моральных и общественных ценностей, здоровья, прав и законных интересов граждан, а также экономических и финансовых интересов страны среди прочих целей. Без передачи данных многие международные проекты, такие как деловые поездки сотрудников, переписка с партнерами и использование зарубежных IT-систем, становятся невозможными.
При появлении нового международного партнёра необходимо запросить у него информацию о соблюдении мер по защите персональных данных (указанных в части 5 статьи 12 закона «О персональных данных»), провести оценку полученной информации и подать уведомление в Роскомнадзор о планируемой трансграничной передаче данных.
Ликвидация персональных данных
С 1 марта 2023 года вступят в силу обновленные требования для подтверждения уничтожения персональных данных, как указано в части 7 статьи 21 закона «О персональных данных». Компании обязаны уничтожать данные в соответствии с приказом Роскомнадзора № 179 от 28 октября 2022 года «Об утверждении требований к подтверждению уничтожения персональных данных». Для ликвидации данных необходимо составлять акты, включающие указание каждого носителя и количества листов, основания для уничтожения, а также ФИО или другие данные субъекта, чьи данные уничтожаются. Удаление данных из систем, таких как 1С, должно фиксироваться в выгрузках журналов регистрации событий и соответствующих актах.
Как организовать составление таких актов в кадровой службе предприятия с многотысячным штатом сотрудников? Если акты требуют указания ФИО или других сведений о субъектах, значит ли это, что их данные никогда не будут полностью уничтожены? На текущий момент правоприменительная практика еще не установлена, и остаются многие нерешенные вопросы.
Необходимо разработать и внедрить процесс подтверждения уничтожения персональных данных во всех подразделениях компании, возможно, приняв соответствующий локальный нормативный акт. Также стоит настроить журналы регистрации событий в информационных системах.
Ограничения обработки биометрических персональных данных
С 1 июня 2023 года вводятся новые правила касательно использования биометрических данных. Запрещается автоматическая обработка таких данных для идентификации и проверки личности без применения государственной единой биометрической системы (ЕБС), как это указано в статье 15 Федерального закона от 29.12.2022 № 572-ФЗ. Для доступа к ЕБС необходимо получить аккредитацию в Министерстве цифрового развития. Например, автоматические системы распознавания лиц на рабочих местах теперь требуют аккредитации для законного использования. При этом охранники на контрольно-пропускных пунктах продолжают проверять пропуска вручную по фотографиям.
Какие есть варианты действий? Либо прекратить использование любых автоматических систем, работающих с биометрией, либо получить подключение к ЕБС.
Внеплановые проверки в случае утечки данных
14 февраля 2023 года вступили в силу обновленные правила моратория на проведение контрольных и надзорных действий. Теперь разрешены внеплановые проверки обработки персональных данных, если обнаружено распространение баз данных с личной информацией в интернете. Для начала таких проверок необходимо одобрение главы Роскомнадзора или его заместителя, а также согласование с прокуратурой согласно подпункту «а» пункта 3 постановления Правительства № 336 от 10 марта 2022 года «Об особенностях организации и осуществления государственного и муниципального контроля» и пункту 2(1) постановления Правительства № 448 от 24 марта 2022 года «Об особенностях осуществления государственного контроля в отношении аккредитованных IT-организаций и внесении изменений в правительственные акты».
Необходимо разработать план действий на случай утечки данных заранее и быть готовыми к проверке после обязательного уведомления Роскомнадзора об инциденте (часть 3.1 статьи 21 закона «О персональных данных»).
Рекомендательные технологии в интернете
С 1 октября 2023 года вступили в силу новые нормы для использования рекомендательных технологий в интернете. Согласно статье 10.2-2 федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", теперь необходимо соблюдать определенные правила при применении таких технологий. Веб-сайты, использующие IT-сервисы для анализа пользовательского поведения, например, для таргетированной рекламы, должны уведомлять об этом своих посетителей. Также требуется опубликовать информацию о правилах использования рекомендательных технологий, а также контактные данные и название компании. Вопрос, можно ли считать данные о поведении пользователей персональными, остается открытым. Однако логика закона подсказывает, что такие данные следует рассматривать как персональные, поскольку рекомендательные технологии позволяют идентифицировать пользователя.
Создайте правила использования рекомендательных технологий и обновите сайт, добавив всю необходимую информацию.
Заключение
С вступлением в силу серии изменений в законодательстве о персональных данных, компании сталкиваются с необходимостью адаптироваться к новым правилам и требованиям. Эти изменения затрагивают различные аспекты обработки и передачи персональных данных.
Эти меры, направленные на усиление защиты персональных данных, требуют от компаний тщательной подготовки и внедрения новых процессов для обеспечения соответствия законодательству. Только так можно будет минимизировать риски административных санкций и защитить права и интересы субъектов данных.