В самой середине этого года, 14 июля был принят федеральный закон №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», который существенно изменил законодательство по защите персональных данных и работе с Единым государственным реестром недвижимости (ЕГРН). Изменение ли законодательства о персональных данных является нагрузкой к принятию новых правил работы с ЕГРН или наоборот сейчас уже сложно понять. Однако часть закона, относящаяся к персональным данным, вступает в силу с 1 сентября 2022 года, а часть, относящаяся к ЕГРН — с 1 марта 2023 г. В основном все обсуждают изменение требований к защите персональных данных (и мы не исключение), а про ЕГРН практически молчат, хотя там, возможно, тоже есть много интересных новаций. И тем не менее о персональных данных…
По направлению к GDPR
Важным изменением в законе является его распространение на все компании России. Дело в том, что раньше если компания обрабатывает данные собственных сотрудников, то это избавляло ее от подачи сведений об этом в Роскомнадзор (РКН), который у нас является уполномоченным органом по защите прав субъектов персональных данных. Сейчас же это исключение убрано из закона. А поскольку все коммерческие компании должны платить зарплату своим сотрудникам и для этого используется обычно бухгалтерская программа, то в соответствии с новой редакцией закона все они становятся операторами персональных данных. Сейчас записей в реестре РКН порядка 500 тыс., а юридических лиц — на порядок больше, поэтому с вступлением в силу нового закона наполнение реестра РКН должно сильно увеличиться. А поскольку и ИП также имеют право нанимать сотрудников, то и они также могут неожиданно для себя стать операторами персональных данных со всеми вытекающими.
Вторая существенная новация — введение принципа экстерриториальности. Если раньше закон должны были соблюдать только компании из России, то теперь его соблюдения могут потребовать в том числе и от иностранных компаний. В этом плане он приближается к принципам европейского GDPR, которые должны были соблюдать не только европейские компании, но все сайты, которые предлагают свои услуги европейцам. У нас принцип расширения юрисдикции несколько иной — если компания обрабатывает персональные данные российских граждан, то она подпадает под действие российского закона. Так что теперь какие-нибудь украинские мошенники, которые ведут обзвон россиян от имени «службы безопасности Сбербанка», также должны соответствовать требованиям нового закона и могут быть за это заблокированы.
В законе также появилась целая новая статья №12 «Трансграничная передача персональных данных». В ней много интересного, однако в основном для иностранных компаний или облачных операторов, которые имеют вычислительные мощности за рубежом. Однако с этим пусть разбираются Meta и Google, а для российских компаний эта часть не очень актуальна, поэтому, хотя именно эта новация и вызвала так много обсуждений, я остановлюсь лишь на одном пункте: «7. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ» и так далее. Ну вы поняли — если что-то не так, то Роскомнадзор на страже и будет всячески блокировать трансграничную передачу персональных данных россиян. Так что закладываться на маркетинг через иностранные соцсети лучше не стоит.
Кроме того, в законе появилось требование для операторов сообщать обо всех обнаруженных утечках персональных данных в РКН в течении 24 часов со времени обнаружения утечки, а в течении 72 часов — предоставить сведения по внутреннему расследованию. Это требование как бы намекает, что у всех компаний должны появиться отделы для проведения этих самых внутренних расследований или хотя бы специалисты, которые будут в состоянии такое расследование провести. Хотя эти документы, скорее всего, смогут готовить и внешние приглашенные эксперты — это целый новый рынок для предоставления подобного типа услуг. И, да — Роскомнадзор будет вести специальный реестр зарегистрированных инцидентов, где «все хода будут записаны».
Дополнительно оператору вменяется в обязанность обеспечивать взаимодействие с ГосСОПКА. Хотя пока правил взаимодействия с этой системой для операторов персональных данных не разработано, однако, скорее всего, они не будут сильно отличаться от тех, которые уже есть для субъектов критической информационной инфраструктуры в рамках закона №187-ФЗ «О безопасности КИИ РФ». Так что стоит специалисту, который в компании должен быть ответственным за обработку персональных данных, стоит пройти курс по законодательству в сфере КИИ — скорее всего в самом ближайшем будущем системы ИСПДн нужно будет привести в соответствие с теми же требованиями. К счастью, уже в общих чертах понятно к чему готовиться.
Рекомендации специалистов
Сейчас уже ведутся активные консультации по тому, как максимально быстро привести свои компании в соответствие с новыми требованиями закона №266-ФЗ — времени осталось не очень много. В основном эксперты рекомендуют не торопиться исполнять сложные требования, типа организации взаимодействия с ГосСОПКА или созданием службы по расследованию инцидентов — в этой части стоит сначала подождать соответствующих подзаконных актов и первой правоприменительной практики. В основном рекомендации сводятся к изменению локальных уставных документов в части персональных данных, чтобы в случае проверки они уже были приведены в соответствие с новыми требованиями.
Вот, для примера, рекомендации заместителя руководителя департамента консалтинга ГК ЦИБИТ Андрея Волошина:
- Привести форму «Согласия на обработку персональных данных» в соответствие с новыми требованиями закона;
- Если пользуетесь услугами внешних обработчиков персональных данных, то проверить поручения (соглашения) об обработке и их также привести в соответствие с новыми реалиями;
- Проверить должностные инструкции специалистов, отвечающих за обработку персональных данных, и их также подправить в нужных местах;
- Подготовить акт о соответствии требованиям нового закона в независимой организации и вывесить сведения о нем на своем сайте;
- Подготовить необходимые документы для организации взаимодействия с ГосСОПКА (достаточно включить пункт об этом в должностные инструкции, а само взаимодействие можно организовать по телефону или электронной почте);
- Подготовить правила реагирования на инциденты и добавить их в регламенты работы служб ИБ;
- Актуализировать предельные сроки реагирования на инциденты, проведения расследований и другие;
- Опубликовать на каждой странице сайта ссылку на политику обработки персональных данных;
- Пройти курсы по КИИ для лиц, ответственных за обработку персональных данных;
- Внести дополнительные основания для прекращения обработки персональных данных в политику работы с персональными данными;
- Уточнить ситуацию с уведомлением в РКН (если его не было, то стоит готовить уже по новым правилам).
Как видно из списка первоочередных задач, они в основном относятся больше к юридической работе, чем к службам ИБ, но сроки для выполнения этой работы очень сжатые. Так что лучше все-таки поторопиться.
