Закон о передаче персональных данных: Как закон обеспечивает сохранность персональных данных россиян

Изменено законодательство о персональных данных — NPLaw на vc.ru

С 1 сентября 2022 года вступает в силу Федеральный закон № 266 (за исключением отдельных положений), которым вносятся изменения в нормативно-правовые акты, регулирующие обработку персональных данных.

473 просмотров

Основные изменения:

1. Принцип экстерриториальности действия закона о персональных данных

Федеральный закон № 152-ФЗ «О персональных данных» подлежит применению к обработке персональных данных граждан РФ, осуществляемой иностранными юридическими или физическими лицами:

• на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ; либо
• на основании согласия гражданина РФ на обработку персональных данных.

Таким образом, иностранные лица обязаны соблюдать положение Закона № 152-ФЗ при обработке персональных данных. Ранее применение Закона №152-ФЗ к иностранным лицам, не имеющим на территории РФ физического присутствия, носило ограниченный характер и основывалось на критериях направленности.

2. Новые правила трансграничной передачи персональных данных

До 1 марта 2023 года сохранится порядок передачи ПД. В государства, не обеспечивающие адекватную защиту прав субъектов ПД, передача ПД возможна в пяти случаях, указанных в Законе №152-ФЗ. Однако в страны, которые обеспечивают адекватную защиту ПД, наличие специальных оснований для передачи не требуется.

С 1 марта 2023 года будет операторы будут обязаны направлять уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу ПД. При этом в зависимости от того, обеспечивает иностранное государство адекватную защиту прав субъектов ПД или нет, будет зависеть характер данного уведомления. Так, условно можно выделить два режима уведомлений:

• Уведомительный режим. Он действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов ПД. В уведомлении указываются сведения о мерах защиты, принимаемых получателем, условия прекращения обработки персональных данных, а также сведения о лице, которому планируется передача персональных данных. После направления уведомления в РКН оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.
• Разрешительный режим. Он действует при передаче персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов ПД.В уведомлении указываются сведения о мерах защиты, принимаемых получателем, и условиях прекращения обработки персональных данных, сведения о лице, которому планируется передача, информация о правовом регулировании персональных данных в стране. После направления уведомления в РКН оператор не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до получения решения РКН. Исключение на этот счет установлено для случаев, если передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПД или других лиц. Персональные данные в случае получения решения РКН используются на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.

Уведомление можно подать как в бумажном, так и в электронном виде. В уведомление указываются:

• Сведения об операторе, а также дата и номер уведомления, предусмотренного ст. 22 Закона 152-ФЗ;
• Сведения о лице, ответственном за организацию обработки персональных данных;
• Основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных ПД;
• Категории и перечень передаваемых персональных данных;
• Перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
• Дата проведения оператором оценки соблюдения получателями персональных данных конфиденциальности и обеспечения безопасности при их обработке.

3. Введены дополнительные обязанности у лиц, осуществляющих обработку персональных данных по поручению оператора, а также у операторов

Лица, осуществляющие обработку персональных данных по поручению оператора теперь обязаны будут предпринимать меры, направленные на обеспечение выполнения обязанностей, установленных в Законе 152-ФЗ.

Операторы персональных данных обязаны уведомлять РКН о компьютерных инцидентах, повлекших нарушение прав субъектов персональных данных. Данная обязанность возникает с момента выявления компьютерного инцидента и предполагает направление двух уведомлений в РКН:

• в течение 24 часов направляется уведомление с информацией об инциденте. В уведомлении указываются сведения: об инциденте, о предполагаемых причинах, о предполагаемом вреде, о мерах, принятых для устранения последствий.
• в течение 72 часов – о результатах внутреннего расследования инцидента, о лицах, действия которых стали причиной инцидента.

Оператор персональных данных должен будет провести внутреннее расследование компьютерного инцидента в течение трех суток с момента его выявления.

4. Операторы будут обязаны обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Р (ГосСОПКА), включая информирование о компьютерных инцидентах, которые повлекли неправомерную передачу персональных данных

В рамках взаимодействия с ГосСОПКА оператор персональных данных обязан уведомлять ФСБ о компьютерных инцидентах, которые произошли в результате неправомерных действий.

5. Сокращены сроки на исполнение запросов РКН

Срок на исполнение запросов РКН будет сокращен с 30 до 10 рабочих дней с даты их получения. Срок может быть продлен на основании мотивированного уведомления оператора не более чем на 5 рабочих дней.

6. Документы, определяющие политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, теперь должны определять для каждой цели обработки:

• категории и перечень обрабатываемых персональных данных;
• категории субъектов персональных данных; способы, сроки обработки и хранения персональных данных;
• порядок уничтожение персональных данных при достижении целей обработки или при наступлении иных законных оснований.

Если сбор персональных данных осуществляется с использованием сети Интернет, то политика должна быть опубликована на соответствующих страницах сайта, на которых происходит сбор персональных данных.

7. Конкретизированы критерии, предъявляемые к согласию субъекта на обработку персональных данных

В настоящий момент закон определяет действительность согласия субъекта ПД наличием следующих критериев, предъявляемых к согласию – оно должно быть информированным, конкретным, сознательным.

Новый закон устанавливает, что согласие должно быть также предметным и однозначным. Данные критерии являются оценочными, их содержание в законе не раскрывается.

8. Иностранные физические или юридические лица, осуществляющие обработку персональных граждан РФ по поручению оператора, будут нести ответственность перед субъектами наряду с оператором.

[email protected]

Как вести обработку персональных данных с 1 марта 2023 года

Как вести обработку персональных данных с 1 марта 2023 года — БУХ. 1С, сайт в помощь бухгалтеру

Новости для бухгалтера, бухучет, налогообложение, отчетность, ФСБУ, прослеживаемость и маркировка, 1С:Бухгалтерия

• Новости
• Статьи
• Вопросы и ответы
• Видео
• Форум

26.02.2023

---

С 1 марта 2023 года вступят в силу новые требования к представлению уведомлений при осуществлении обработки персональных данных. Соответствующие поправки в закон о персональных данных (от 27.07.2006 № 152-ФЗ) внес Федеральный закон от 14.07.2022 № 266-ФЗ.

Напомним, с 1 сентября 2022 года организации и ИП обязаны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных (за отдельным исключением). В частности, оператор обязан уведомить Роскомнадзор об изменениях в ранее представленных сведениях в части обработки персональных данных в течение 10 рабочих дней. С 1 марта 2023 года указанные сведения нужно будет подавать не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Также с 1 марта 2023 года вступят в силу новые требования к подтверждению уничтожения персональных данных, утвержденные приказом Роскомнадзора от 28.10.2022 № 179.

Как пояснил Роскомнадзор, по новым правилам, если обработка персональных данных осуществляется без использования средств автоматизации, то документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных. Если обработка персональных данных осуществляется с использованием средств автоматизации, то документами, подтверждающими уничтожение персональных данных, являются:

• акт об уничтожении персональных данных;
• выгрузка из журнала регистрации событий в информационной системе персональных данных.

Кроме того, с 1 марта 2023 года вступит в силу новый порядок информирования Роскомнадзора о передаче персональных данных в другие страны. С указанной даты Роскомнадзор по итогам рассмотрения таких уведомлений будет вправе принимать решения о запрете или ограничении передачи персональных данных в другие страны. При этом до истечения 10 рабочих дней после подачи такого уведомления будет запрещено передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных.

Роскомнадзор в своем сообщении уточняет, что операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей).

В программах системы «1С:Предприятие» уничтожение персональных данных сотрудников в соответствии с приказом Роскомнадзора от 28.10.2022 № 179 поддерживается с выходом очередных версий. О сроках см. в «Мониторинге законодательства».

Следить за новостями удобно в нашем новостном Telegram-канале. Присоединяйтесь!

Темы: защита персональных данных, Роскомнадзор, представление сведений

Рубрика: Защита персональных данных

Подписаться на комментарии

Отправить на почту

Печать

Написать комментарий

Как компаниям уничтожать персональные данные с 1 марта 2023 года Власти расширили перечень оснований для внеплановых проверок бизнеса в 2023 году Нужно ли обязать работников сообщать о появлении признаков опасной болезни Власти пока не определили параметры оборотных штрафов за утечку персональных данных Роскомнадзор утвердил формы уведомлений об обработке персональных данных

 

Опросы

Увеличение майских каникул и сокращение новогодних

---

Поддерживаете ли вы предложение увеличить майские каникулы и сократить новогодние?

Да, поддерживаю. Майские каникулы более актуальны.

Нет, не поддерживаю. Действующий график выходных менять не нужно.

Нужно увеличить майские каникулы без сокращения новогодних праздников.

Я думаю, что количество праздничных дней вообще нужно сократить.

Мероприятия

26 июня — 2 июля 2023 года — 9-я международная конференция «Решения 1С для корпоративных клиентов»

1C:Лекторий: 25 мая 2023 года (четверг, все желающие) — Новое в «1С:Бухгалтерии 8» — обзор актуальных обновлений, версии 3.0.133 – 3.0.136 1C:Лекторий: 1 июня 2023 года (четверг, начало в 12:00) — Учет по ПБУ 18/02 балансовым методом с разницами и без: отличия, возможности и особенности применения

Все мероприятия

Какие правила применяются, если моя организация передает данные за пределы ЕС?

Ответить

В современном глобализованном мире существует большое количество трансграничных передач персональных данных, которые иногда хранятся на серверах в разных странах. Защита , предлагаемая Общим регламентом по защите данных (GDPR), распространяется вместе с данными , а это означает, что правила, защищающие персональные данные, продолжают применяться независимо от того, куда попадают данные. Это также применяется, когда данные передаются в страну, которая не является членом ЕС (далее именуемая «третья страна»).

GDPR предоставляет различные инструменты для передачи данных из ЕС в третью страну:

• иногда третья страна может быть объявлена ​​как предлагающая адекватный уровень защиты на основании решения Европейской комиссии («Решение об адекватности»), что означает что данные могут быть переданы другой компании в этой третьей стране без необходимости предоставления экспортером данных дополнительных гарантий или выполнения дополнительных условий. Другими словами, передача данных в «подходящую» третью страну будет сравнима с передачей данных в пределах ЕС.
• в отсутствие Решения об адекватности передача может осуществляться посредством предоставления соответствующих гарантий и при условии, что физические лица имеют обеспеченные правовой защитой права и эффективные средства правовой защиты. К таким надлежащим гарантиям относятся:
  • в случае группы предприятий или групп компаний, занимающихся совместной экономической деятельностью, компании могут передавать персональные данные на основании так называемых обязательных корпоративных правил;
  • договорные отношения с получателем персональных данных, используя, например, стандартные договорные положения, утвержденные Европейской комиссией;
  • соблюдения кодекса поведения или механизма сертификации вместе с получением обязательных и подлежащих исполнению обязательств от получателя применять соответствующие меры безопасности для защиты передаваемых данных.
• , наконец, если передача персональных данных предусмотрена в третью страну, которая не является предметом Решения о достаточности, и если соответствующие гарантии отсутствуют, передача может быть осуществлена ​​на основе ряда отступлений для конкретных ситуаций, например, когда физическое лицо явным образом согласилось на предлагаемый перевод после того, как ему была предоставлена ​​вся необходимая информация о рисках, связанных с переводом.

Пример

Вы — французская компания, намеревающаяся расширить свои услуги в Южной Америке, в частности в Аргентине, Уругвае и Бразилии. Первым шагом будет проверка того, подпадают ли эти третьи страны под действие Решения об адекватности. При этом и Аргентина, и Уругвай были признаны адекватными. Вы сможете передавать личные данные в эти две третьи страны без каких-либо дополнительных гарантий, в то время как для передачи в Бразилию, которая не является предметом решения о достаточности, вам придется оформить передачу, предоставив соответствующие гарантии.

Ссылки

• Глава V, статьи (44–50) и преамбулы (101)–(116) GDPR
Последние рекомендации EDPB по международным переводам
• :
  • Рекомендации EDPB по справочным материалам по адекватности
  • Руководство EDPB по обязательным корпоративным правилам для контролеров
  • Руководство EDPB по обязательным корпоративным правилам для процессоров
• См. также для справки Сообщение Европейской комиссии об обмене и защите персональных данных в глобализированном мире1, 10 января 2017 г.

1 COM(2017)7 окончательный

Что такое передача персональных данных и когда будут применяться обязательства по главе V?

18 ноября Европейский совет по защите данных принял проект руководящих указаний 05/2021 о взаимодействии между применением статьи 3 и положениями о международных передачах в соответствии с главой V Общего регламента ЕС по защите данных. Проект руководящих принципов открыт для общественного обсуждения до конца января.

GDPR регулирует передачу данных: Но что такое передача?

Глава V GDPR устанавливает правила передачи персональных данных в третьи страны или международные организации. Однако GDPR не содержит определения «передачи». EDPB предлагает три кумулятивных критерия для передачи:

1. Контроллер или обработчик подпадают под действие GDPR для соответствующего акта обработки.
2. Этот контролер или обработчик («экспортер») раскрывает эти персональные данные, передавая их или иным образом делая их доступными другому контролеру, совместному контролеру или обработчику («импортер»).
3. Импортер находится в третьей стране или является международной организацией. Это верно независимо от того, применим ли GDPR к обработке персональных данных импортером.

Сдувание «пузыря GDPR»

Организации, работающие в Великобритании, могут быть знакомы с концепцией «пузыря GDPR (теперь GDPR Великобритании)». Управление Комиссара по информации Великобритании предполагает, что если GDPR Великобритании применим к организации на экстерриториальной основе, то передача персональных данных в эту организацию не является «ограниченной передачей» — даже если организации физически находятся за пределами Великобритании, они все еще находятся в пределах пузырь британского GDPR.

EDPB сдувает пузырь GDPR. В нем указывается, что в этой ситуации все еще существует риск того, что «защита, обеспечиваемая GDPR, будет подорвана другим законодательством, под которое подпадает импортер. Это может быть, например, случай, когда третья страна имеет правила о доступе правительства к персональным данным. которые выходят за рамки того, что необходимо и пропорционально в демократическом обществе…» (пункт 3). Соответственно, раскрытие персональных данных импортеру, к которому GDPR применяется на экстерриториальной основе, по-прежнему должно рассматриваться как передача данных. Дальнейшее раскрытие персональных данных этим импортером другим контролерам или обработчикам в третьих странах также будет равносильно передаче — и должно соответствовать условиям главы V GDPR.

Как обеспечить надлежащие гарантии при передаче персональных данных импортеру, непосредственно подпадающему под действие GDPR?

Многим организациям необходимо передавать персональные данные контролерам или обработчикам в третьих странах, когда нет решения об адекватности, и к передаче не применимо отступление. Эти организации должны использовать «инструмент передачи», указанный в статье 46 GDPR. Основным инструментом передачи данных является использование стандартных договорных условий. EDPB отмечает, что в этом сценарии это будет означать использование инструмента передачи, «в настоящее время … доступного только в теории». Это связано с тем, что статья 1 Исполнительного решения Комиссии 2021/914 (т. е. решение о принятии новых SCC) говорится, что пункты обеспечивают надлежащую защиту при передаче персональных данных контролеру или (суб)обработчику, чья обработка данных не подпадает под действие GDPR. В EDPB отмечают, что готовы сотрудничать в разработке инструментов перевода, которые можно использовать в этой ситуации. В нем также подчеркивается, что эти инструменты должны избегать дублирования обязательств GDPR, которые уже применимы к импортеру, и вместо этого должны быть направлены на решение проблем, связанных с противоречащими национальными законами и / или правами доступа правительства в третьей стране.

Прямое раскрытие субъектом данных зарубежному контролеру или обработчику — без передачи

В проекте руководящих указаний говорится, что когда субъекты данных раскрывают данные напрямую, по своей собственной инициативе, контролеру или обработчику в третьей стране, это не «трансфер». Это связано с тем, что передача имеет   , которая должна быть выполнена одним контроллером или процессором на другой контроллер или процессор. Если субъект данных делает данные доступными, это не так. В проекте руководящих принципов используется пример потребителя в Италии, который заказывает товары онлайн на веб-сайте розничного продавца в Сингапуре.

Для танго и осуществления передачи нужны двое

В проекте руководства также говорится, что концепция передачи применяется только к раскрытию информации между двумя разными отдельными сторонами, каждая из которых является контролером, совместным контролером или обработчиком: импортер должен отличаться от экспортера. EDPB приводит пример сотрудника польской компании, который едет в Индию на встречу и получает удаленный доступ к системам компании, находясь в Индии. В проекте руководящих указаний отмечается, что сотрудник является не другим контролером, а неотъемлемой частью контролера, поэтому это не перевод.

В проекте руководства отмечается, что раскрытие персональных данных между членами корпоративной группы часто будет равнозначно передаче, поскольку будут отдельные контролеры — например, в случае дочерней и материнской компании. В проектах руководящих принципов не рассматриваются филиалы, которые не имеют отдельных юридических лиц. Однако, следуя логике, описанной выше, казалось бы, раскрытие данных филиалом головному офису не может быть приравнено к «переводу».

Когда что-то не квалифицируется как передача в третью страну, но по-прежнему связано с передачей персональных данных за границу, EDPB подчеркивает — поскольку обработка все еще может быть связана с рисками из-за противоречащих законов или доступа правительства — контролер должен оставаться подотчетным. для его обработки и должен соблюдать свои другие обязательства в соответствии с GDPR.

В проекте руководства отмечается, что EDPB готов сотрудничать в области инструментов передачи для использования с организациями, к которым GDPR применяется в соответствии со статьей 3(2). Статья 3(2) применяет GDPR на экстерриториальной основе, когда персональные данные обрабатываются контролером или обработчиком, не зарегистрированным в ЕС, когда очевидно, что контролер или обработчик намеревается предлагать товары или услуги субъектам данных в ЕС или осуществляет мониторинг поведение субъектов данных в ЕС.

Как насчет статьи 3(1) и экстерриториального охвата?

Однако статья 3(2) — не единственный способ, которым GDPR может иметь экстерриториальное действие. GDPR также может применяться на экстерриториальной основе к обработке контролером или процессором за пределами ЕС, который обрабатывает персональные данные в контексте деятельности учреждения в ЕС в соответствии со статьей 3(1). Это принцип, установленный Судом ЕС в решении по делу Google в Испании. EDPB также повторяет это в своих рекомендациях 3_2018 по территориальному охвату и использует следующий пример.

«Веб-сайт электронной коммерции управляется компанией, базирующейся в Китае. Деятельность компании по обработке персональных данных осуществляется исключительно в Китае. Китайская компания открыла европейский офис в Берлине, чтобы вести и осуществлять коммерческую разведку. и маркетинговые кампании на рынках ЕС.В этом случае можно считать, что деятельность европейского офиса в Берлине неразрывно связана с обработкой персональных данных, осуществляемой китайским веб-сайтом электронной коммерции, поскольку коммерческая разведка и маркетинг Кампания на рынки ЕС, в частности, служит тому, чтобы сделать услуги, предлагаемые веб-сайтом электронной коммерции, прибыльными.Обработка персональных данных китайской компанией в отношении продаж в ЕС действительно неразрывно связана с деятельностью европейского офиса в Берлине, касающейся коммерческой разведки. и маркетинговая кампания на рынке ЕС.Поэтому обработка персональных данных китайской компанией в связи с продажами в ЕС может рассматриваться как осуществляемая в контексте деятельности европейского офиса как учреждения в Союзе. Таким образом, эта деятельность китайской компании по обработке данных будет подпадать под действие положений GDPR в соответствии со статьей 3(1)»9.0007

Давайте немного изменим факты, чтобы берлинский офис также выполнял некоторую обработку, а затем персональные данные передавались в Китай. Допустим также, что берлинский офис является дочерней компанией китайской материнской компании. Согласно трем критериям EDPB, это будет передача персональных данных. Однако GDPR будет применяться к обработке китайской материнской компанией в соответствии со статьей 3 (1), что означает, что SCC не могут быть использованы. Как EDPB в проекте руководства, так и Европейская комиссия на Конгрессе по защите данных IAPP 2021 года упоминают о работе над инструментами передачи для решения вопросов передачи организациям, к которым GDPR применим в соответствии со статьей 3(2). Перефразируя Оскара Уайльда, «утрата одной формы экстерриториального применения GDPR может рассматриваться как несчастье; потеря обеих выглядит как небрежность».