Вопросы юристу


Что нужно знать бизнесу о защите персональных данных


Иллюстрация: Право.ru/Петр Козлов

В 2022 году прошла реформа законодательства о персональных данных, и у бизнеса появились новые обязанности. Одна их них - сообщать Роскомнадзору об утечках. Нововведений стоит ждать и в следующем году. Так, перед передачей персональных данных за рубеж в некоторых случаях придется получать разрешение. К этим поправкам нужно готовиться уже сейчас, уверены юристы. Советами для бизнеса они поделились на конференции Право.ru, посвященной защите информации и персональных данных.

Изменения и тенденции

В 2022 году вступили в силу существенное изменения в закон «О персональных данных». Поправки внесли в 15 из 29 статей, подсчитал Станислав Румянцев, старший юристАндрей Городисский и партнеры

Андрей Городисский и партнеры

Федеральный рейтинг.

группа
Интеллектуальная собственность (Регистрация)

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Консалтинг)

группа
Корпоративное право/Слияния и поглощения (mid market)

группа
Налоговое консультирование и споры (Налоговое консультирование)

группа
Трудовое и миграционное право (включая споры)

Профайл компании

×

. Все изменения, по его словам, носят точечный характер и разъясняют много вопросов из практики. Это добавляет сложности юристам, уверен эксперт. Теперь его коллегам нужно провести аудит в своей компании и проконтролировать, учитываются ли там требования закона в новой редакции. 

 Румянцев подробнее остановился на самых ключевых изменениях. Так, операторам связи придется чаще уведомлять Роскомнадзор. Раньше нужно было сообщать об обработке персональных данных, но были и исключения. Согласно поправкам, большинство из исключений убрали.

С начала сентября 2022-го компании обязаны сообщать Роскомнадзору об утечках. Оператор должен сделать это в течение 24 часов, рассказала Екатерина Ефимова, начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора.

В России не было единой методики подсчета интернет-аудитории, но с 1 октября 2021 года действует ст. 12.2 закона «Об информации» («Особенности исследования объема аудитории информационных ресурсов в сети «Интернет»). Его называют законом об исследовании аудитории интернета. Подробнее о нем рассказал Михаил Хохолков, руководитель практики «Медиаправо» INTELLECT (ИНТЕЛЛЕКТ)

INTELLECT (ИНТЕЛЛЕКТ)

Федеральный рейтинг.

группа
Цифровая экономика

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Регистрация)

группа
ТМТ (телекоммуникации, медиа и технологии)

15место
По количеству юристов

24место
По выручке на юриста (более 30 юристов)

40место
По выручке

Профайл компании

×

. Он рассказал, что изучается обширный пласт информации: сведения о каждом факте доступа к информационному ресурсу с указанием времени, типа использованного оборудования и браузера. 

Хохолков заметил, что пока закон работает точечно. Есть реестр интернет-ресурсов, чью аудиторию исследуют. В него попали в том числе 4 новостных агрегатора, 8 соцсетей, 26 зарегистрированных СМИ. При этом Хохолков отметил, что норма позволяет мониторить практически любой информационный ресурс, аудитория которого больше 1000 пользователей в месяц. Даже если это не самый популярный юридический блог, то он может набрать столько просмотров, уверен эксперт. «Пока не выглядит страшно, но непонятно, что будет в будущем», - признал Хохолков.

Артем Дмитриев, руководитель практики IP, Tech & Privacy Comply

Comply

Федеральный рейтинг.

×

, рассказал, что в их компании исследовали, как менялось законодательство, связанное с персональными данными почти в 15 странах с 2019 года. Это помогло выявить тренды в том, как меняется регулирование. В частности, повышается контроль, в том числе за утечками данных.  Дмитриев ожидает, что в России оборотные штрафы за это появятся уже в этом году. Пока поправки еще обсуждают.

Наверное, в следующем году активно будет обсуждаться и уголовная ответственность за утечки персональных данных, что делает вопрос более горячим. 

Артем Дмитриев

Дмитриев отметил еще одну тенденцию – государство получает больше доступа к процессам бизнеса, и, собственно, больше возможностей по контролю за бизнесом. Так, его заинтересовала инициатива Минцифры о предоставлении субъектам персональных данных права отзывать согласие на их обработку через «Госуслуги». Очевидно, когда такая возможность для граждан будет запущена, государство получит возможность контролировать, кто какой запрос направил и отреагировал ли бизнес на этот запрос или нет, уверен эксперт.

Советы для бизнеса

Законодательство меняется, и бизнесу нужно знать, как себя защитить. Подробнее об это рассказал Максим Лагутин, исполнительный директор юридической компании «Б-152». Мало лишь создать политику обработки персональных данных и положение об обработке для работников и согласия. Лагутин предлагает всегда назначать ответственного за персональные данные, а еще провести инвентаризацию обработки персональных данных и информационных систем. Это нужно, чтобы понимать, куда уходят данные, и выявить возможные риски утечки. Потом разработать дорожную карту по исправлению выявленных замечаний. По мнению Лагутина, еще бизнесу нужно выстроить порядок реагирования на запросы физлиц.

С 1 марта 2023 года у нас будет десять рабочих дней, чтобы отреагировать на запрос. А сейчас 30 дней. То есть почти в два раза больше.

Максим Лагутин

А еще Лагутин советует заранее определить, какие действия нужно предпринять в случае отзыва согласия или утечки данных. 

Свои рекомендации бизнесу дала и Баира Бембеева, старший юрист цифровой группы Пепеляев Групп

Пепеляев Групп

Федеральный рейтинг.

группа
Антимонопольное право (включая споры)

группа
Арбитражное судопроизводство (средние и малые споры - mid market)

группа
ВЭД/Таможенное право и валютное регулирование

группа
Земельное право/Коммерческая недвижимость/Строительство

группа
Интеллектуальная собственность (Регистрация)

группа
Комплаенс

группа
Налоговое консультирование и споры (Налоговое консультирование)

группа
Налоговое консультирование и споры (Налоговые споры)

группа
Трудовое и миграционное право (включая споры)

группа
Цифровая экономика

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Консалтинг)

группа
Природные ресурсы/Энергетика

группа
Фармацевтика и здравоохранение

группа
Финансовое/Банковское право

группа
Экологическое право

группа
Банкротство (включая споры) (mid market)

группа
Корпоративное право/Слияния и поглощения (high market)

группа
Международный арбитраж

группа
ТМТ (телекоммуникации, медиа и технологии)

×

. С учетом вступивших изменений она советует:

  • провести аудит локальных нормативных актов, которые посвящены персональным данным;
  • добавить в них данные о целях обработки персональных данных;
  • исходя из целей определить способы, сроки их обработки и хранения;
  • включить в локальные нормативные акты порядок уничтожения таких сведений.

Дмитрий Зыков, руководитель практики правовой защиты информации Технологии Доверия (ранее PwC в России)

Технологии Доверия (ранее PwC в России)

Федеральный рейтинг.

группа
ТМТ (телекоммуникации, медиа и технологии)

группа
ГЧП/Инфраструктурные проекты

группа
Интеллектуальная собственность (Консалтинг)

группа
Налоговое консультирование и споры (Налоговые споры)

группа
Природные ресурсы/Энергетика

группа
Трудовое и миграционное право (включая споры)

группа
Фармацевтика и здравоохранение

группа
ВЭД/Таможенное право и валютное регулирование

группа
Комплаенс

группа
Корпоративное право/Слияния и поглощения (mid market)

группа
Налоговое консультирование и споры (Налоговое консультирование)

группа
Частный капитал

группа
Арбитражное судопроизводство (средние и малые споры - mid market)

8место
По выручке

9место
По выручке на юриста (более 30 юристов)

9место
По количеству юристов

×

, рассказал о ситуациях, когда по закону необходимо уничтожить персональные данные: если компания достигла цели обработки или утратила такую необходимость, если выявлен факт неправомерной обработки или согласие на обработку отозвали. Зыков рассказал, что оператор заранее должен предусмотреть порядок уничтожения персональных данных. Часто юристы советуют назначать комиссию, ответственную за это. Зыков говорит, что это может быть постоянно действующая комиссия, или можно собираться при необходимости.

Единственная рекомендация – включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»

Дмитрий Зыков

Зыков говорит, что важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.

Василий Зуев, руководитель практики «Интеллектуальная собственность» Интеллектуальный капитал

Интеллектуальный капитал

Федеральный рейтинг.

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Регистрация)

группа
Арбитражное судопроизводство (средние и малые споры - mid market)

×

, рассказал о системе защиты коммерчески значимой информации. По его словам, некоторые сведения нельзя отнести к коммерческой тайне и отказаться их предоставлять. Например, сведения об аккредитациях и лицензиях, о задолженности работодателей по выплате зарплаты, а для некоммерческих организаций еще и о размерах и структуре доходов. А вот коммерческой тайной можно признать в том числе сведения о предметах и целях совещаний, стратегии рекламных мероприятий, о подготовке к судебным спорам.

Эксперт рассказал и о способах защиты таких сведений. Наиболее востребованные – это соглашение о неразглашении и пункт договора о том, что его конкретные сведения нельзя сообщать третьим лицам. При этом за нарушение предусматривается неустойка. 

Грядущие изменения

С 1 марта 2023 года операторам связи придется сообщать Роскомнадзору о трансграничной передаче персональных данных. Пока не до конца ясно, как будет действовать поправки, и рынок частично находится в неведении. Поэтому Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф

Клифф

Федеральный рейтинг.

группа
Интеллектуальная собственность (Регистрация)

группа
Налоговое консультирование и споры (Налоговое консультирование)

группа
Частный капитал

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Консалтинг)

группа
Корпоративное право/Слияния и поглощения (mid market)

группа
ТМТ (телекоммуникации, медиа и технологии)

12место
По количеству юристов

25место
По выручке на юриста (более 30 юристов)

44место
По выручке

×

ждет, что до вступления новых правил в силу Роскомнадзор выпустит какие-то разъяснения.

Порядок передачи зависит от того, обеспечивает ли страна адекватную защиту прав субъектов персональных данных. 23 сентября этого года Роскомнадзор сообщил, что утвердил перечень таких государств. В него вошли 89 стран. Если государство не включено в этот список, то нужно получать разрешение на трансграничную передачк персональных данных. А когда страна вошла в реестр, достаточно лишь уведомить РКН.

Минцифры предлагает ужесточить ответственность юрлиц за утечки персональных данных клиентов: ввести оборотные штрафы в зависимости от выручки компании. Пока законопроекта нет в публичном доступе, говорит Мария Самарцева, советник, глава практики защиты интеллектуальной собственности Рыбалкин, Горцунян, Дякин и Партнеры

Рыбалкин, Горцунян, Дякин и Партнеры

Федеральный рейтинг.

группа
Банкротство (включая споры) (high market)

группа
Международные судебные разбирательства

группа
Международный арбитраж

группа
Арбитражное судопроизводство (крупные споры - high market)

группа
Корпоративное право/Слияния и поглощения (high market)

группа
Антимонопольное право (включая споры)

×

Появилась некая тенденция, связанная с утечками данных. Если раньше раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит чаще извне, чтобы каким-то образом причинить репутационный вред компании.

Мария Самарцева

Только за три летних месяца этого года в 2022 года в сеть попало не менее 140 баз данных российских организаций, озвучила данные Самарцева. Основная причина успешных сливов - несовершенство технической базы. Поэтому, по ее словам, инициатива была ожидаемой. Аналогичные штрафы для компаний есть и в других странах. 

Деловой сезон Право.ru  в самом разгаре. Вот список ближайших конференций:

  • 29 сентября - «Налоговая политика и налоговые споры» 
  • 14 октября «Корпоративное право и корпоративное управление»
  • 21 октября «Семейное и наследственное право: законодательные изменения и актуальная практика»

Оставить комментарий

avatar
  
smilegrinwinkmrgreenneutraltwistedarrowshockunamusedcooleviloopsrazzrollcryeeklolmadsadexclamationquestionideahmmbegwhewchucklesillyenvyshutmouth
  Подписаться  
Уведомление о