Никому никогда ничего не объясняйте — каждый всё равно поймёт так, как ему выгодно.
Аль Пачино
Вот и еще новые правки в закон «О персональных данных», большинство из которых вступили в силу уже с 1 сентября этого года. Это уже 28-е изменения за 13 лет существования этого закона. Много? Да, много, но это говорит лишь о том, что закон важный, затрагивает самые важные для личности сущности. Правда, это не такие существенные изменения, которые были в 2011 году когда была уточнена сфера действия закона, используемые основные понятия, принципы и условия обработки персональных данных, существенно переработаны нормы, касающиеся трансграничной передачи персональных данных, мер обеспечения их безопасности, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. Но все же, и в новых правках многие из этих аспектов опять затрагиваются. Я не буду пересказывать все изменения, которые появились в новой редакции: до меня уже многие эксперты об этом рассказали. Кому интересно – можно найти в Интернете (правда, осмысления этих поправок – маловато будет). И все же…
О самом главном
Пробраться к сути сквозь казенный язык новелл закона не просто. Попробую своим языком, как я вижу, выделить самые главные новшества (кому интересно – может обратиться к тексту подлинника закона).
|
Наиболее важные новшества |
Чем грозят новшества |
|
Расширена юрисдикция закона (ст.1) |
Теперь закон действует и на иностранных лиц, обрабатывающих ПДн российских граждан |
|
Расширены требования к поручению на обработку ПДн для обработчика (ст.6) |
БД ПДн обработчика должны быть на территории РФ Обработчик обязан документально подтвердить выполнение мер для выполнения поручения Обработчик обязан принимать организационные и технические меры для защиты персональных данных Обработчик обязан в случае неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн уведомлять Роскомнадзор |
|
Кардинально изменен порядок трансграничной передачи ПДн (ст.12) (вводится с 01.03.2023) |
Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту Роскомнадзору дано право в определенных случаях запретить или ограничить трансграничную передачу Оператор до начала трансграничной передачи: - проводит оценку соответствия иностранным оператором, конфиденциальности ПДн и обеспечения их безопасности - получает от иностранных контрагентов сведения о мерах защиты ПДн и правовом регулировании оборота ПДн - уведомляет Роскомнадзор о намерениях После направления уведомления оператор: - может осуществлять трансграничную передачу на территорию государств, подписавших Конвенцию - не может в течении 10 дней или до получения от иностранного контрагента сведений о мерах защиты осуществлять трансграничную передачу для государств, не являющихся стороной Конвенции Совета Европы - при получении запрета от Роскомнадзора на трансграничную передачу, оператор обязан обеспечить уничтожение иностранным контрагентом переданных ПДн |
|
Определены сроки предоставления сведений субъекту ПДн (ст. ст. 14, 20) |
Установлен срок в 10 дней с возможностью продления еще на 5 дней. |
|
Расширен перечень информации, которой может получить субъект от оператора (ст. 14) |
Субъект может запросить информацию о принимаемых мерах по обеспечению безопасности ПДн |
|
Изменен статус принимаемых мер по выполнению требований закона (ст. 18.1) |
Теперь такие меры перешли из статуса рекомендательных в статус обязательных (императивная норма) |
|
Уточнен порядок оценки вреда (ст. 18.1) |
Роскомнадзор определяет требования к оценке вреда |
|
Дополнены меры по обеспечению безопасности ПДн (ст. 19) |
Вводится обязанность оператора обеспечить взаимодействие с ГосСОПКА |
|
Вводятся обязанность и жесткие сроки уведомления об инцидентах (ст. 21) |
Вводятся жесткие сроки уведомления об инцидентах (24 часа и 72 часа для расследования) |
|
Резко сокращен список исключений, когда возможно обрабатывать ПДн без уведомления Роскомнадзора (ст.22) |
Главное: исключена обработка в соответствии с трудовым договором. Теперь все должны уведомлять. |
|
Расширены права Роскомнадзора (ст. 23) |
Функции по контролю и надзору за соответствием обработки персональных данных теперь реализуются Роскомнадзором самостоятельно (без Минцифры) |
Кроме того, закон уточняет некоторые дефиниции закона, но, на мой взгляд, это не так критично. Вместе с тем думаю, что главными являются два момента, которые могут отразиться на операторах персональных данных: коренное изменение списка исключений, позволяющих обрабатывать персональные данные без уведомления Роскомнадзора, и полное изменение процедуры трансграничной передачи персональных данных.
Исключение из случаев обработки персональных данных без уведомления, обработку в соответствии с трудовым законодательством и в связи с заключением договора, стороной которого является субъект персональных данных приведет к тому, что любое юридическое лицо, от детского садика до государственной корпорации будет обязано делать уведомление в Роскомнадзор. Всего в реестре ЕГРЮЛ[1] числится около 3 миллионов юрлиц. А еще есть индивидуальные предприниматели… С одной стороны мы стремимся к цифровизации и обмену информацией между ведомствами, чтобы не заставлять людей собирать различные справки, которые есть в другом ведомстве, а с другой стороны закон практически определяет необходимость ведения реестра операторов персональных данных, который по своей сути дублирует ЕГРЮЛ. Оправдано ли это? Не знаю.
Изменение процедуры трансграничной передачи персональных данных, конечно усиливает защиту интересов субъектов. Но, с другой стороны, обязывает оператора получать от зарубежных контрагентов информацию о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки, а также информацию о правовом регулировании в области персональных данных в чужом государстве. А кроме того, оператора обязывают при запрете со стороны Роскомнадзора на трансграничную передачу, обеспечить уничтожение иностранным контрагентом ранее переданных им персональных данных. Интересно, как оператор со своими маломощными силами, да еще в непростой международной обстановке сможет это сделать? Наверное, будем ждать разъяснений от Роскомнадзора, все-таки до марта 2023 года время еще есть.
Федот, да не тот
А теперь не о самом законе, а тех подзаконных актах, которые грядут с его вступлением в силу. В новой редакции статьи 18.1 введено новое и очень важное дополнение: оценка вреда субъекту персональных данных оператором проводится в соответствии с требованиями, установленными Роскомнадзором. Отрадно, что Роскомнадзор весьма оперативно опубликовал проект приказа «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (невиданная оперативность, которая заслуживает похвалы). Но, вот, внимательное знакомство с этим проектом наводит на размышления. Дело в том, что критерием оценки вреда в нем определяется нарушение процедуры обработки персональных данных, которая описана в законе.
Однако, статья 2 закона определяет его целью обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. То есть, вред субъекту от нарушения закона будет именно от нарушения его прав и свобод.
А что такое вред с юридической точки зрения? Гражданский кодекс РФ не содержит легального определения понятия вреда, но по смыслу ст. 1064 ГК РФ вред рассматривается как всякое умаление охраняемого законом материального или нематериального блага, любое неблагоприятное изменение в охраняемом законом благе, которое может быть имущественным или неимущественным (нематериальным)[2]. Одним из традиционных условий ответственности за причинение вреда является причинная связь между противоправным поведением и наступившим вредом. То есть, противоправное поведение (читай нарушение процедуры обработки персональных данных) и вред – суть разные сущности. Противоправное поведение – это компетенция КоАП РФ или УК РФ, а вред – это то, что требует денежной компенсации (как материального, так и морального вреда). Тогда и оценивать вред надо именно с точки зрения возможной компенсации. Ну, если с материальными потерями более или менее ясно (например, в результате утечки персональных данных была проведена незаконная сделка по продаже квартиры), то с моральным вредом сложнее.
Моральный вред, в частности, может заключаться[3] в нравственных переживаниях в связи с:
- раскрытием семейной, врачебной тайны;
- распространением не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина;
- временным ограничением или лишением каких-либо прав.
А если гражданину причинен моральный вред на нарушителя может быть возложена обязанность денежной компенсации указанного вреда[4].
А какой вред может быть например, от «несоблюдения оператором требований по представлению мотивированного ответа с отказом в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте» (так в проекте приказа Роскомнадзора) или «несоблюдение оператором требований по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных»? Да, процедура нарушена, наказать виновного, наверное, надо. Но к какому вреду это может привести и каков размер вреда, причиненного в результате таких действий? Разве это привело к раскрытию семейной тайны или распространению не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина? Не надо путать причину и следствие. Так что, на мой взгляд, проект приказа Роскомнадзора требует существенной корректировки и изменению критериев оценки вреда. Будем надеяться, что Роскомнадзор это услышит.
С. Вихорев,
Советник Генерального директора
ООО «ИТ-Экспертиза»
[1] ЕГРЮЛ – Единый государственный реестр юридических лиц.
[2] Определение Верховного Суда РФ от 27.01.2015 N 81-КГ14-19
[3] Постановление Пленума Верховного Суда РФ от 20.12.1994 N 10 (ред. от 06.02.2007)
[4] Гражданский кодекс РФ, ст. 151