Что нужно знать о работе с персональными данными в 2024 году?

За последние два года законодательство в сфере персональных данных претерпело множество изменений. Артем Евсеев, руководитель практики интеллектуальной собственности, IT и защиты информации Savina Legal, рассказал Клубу ОЦО, какие практические шаги необходимо предпринять компаниям, чтобы система работы с персональными данными отвечала требованиям законодательства и как урегулировать обработку данных сервисными центрами для головной компании.

Работа с персональными данными регулируется специальным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Среди наиболее существенных изменений, внесенных с сентября 2022 года в закон, – новые требования к локальным актам оператора персональных данных (далее – ПД), новые правила о трансграничной передаче ПД, ужесточение процедуры реагирования на запросы Роскомнадзора и физических лиц, закрепление обязанности уведомлять Роскомнадзор об утечках данных, а также увеличение штрафов за нарушения законодательства и др. Кроме того, в будущем планируется ввести оборотные штрафы и уголовную ответственность за нарушения в сфере ПД, поэтому интерес к этой теме серьезно возрос. Рассмотрим, какие практические шаги необходимо предпринять компаниям в первую очередь.

Аудит персональных данных в компании

Как юристы мы часто сталкиваемся с тем, что в компании есть документы, регулирующие работу с ПД, но последний раз они изучались на предмет релевантности и соответствия требованиям законодательства 8-10 лет назад. Поэтому компаниям очень важно провести аудит персональных данных, в том числе, текущих информационных процессов и существующих локальных нормативных актов. Это необходимо, чтобы вы могли понять, какие данные вы обрабатываете и на каких условиях, от кого их получаете, кому передаете и т.п.

На что следует обратить особое внимание? Теперь необходимо получать отдельное согласие на обработку ПД для каждой конкретной цели. К примеру, работник компании передает ей определенный объем сведений для различных целей: для трудоустройства, для исчисления премии (показателей KPI), выдачи полиса дополнительного медицинского страхования и т.д. Так вот – теперь для каждой конкретной цели необходимо указывать конкретный и исчерпывающий объем сведений, который обрабатывается для ее достижения. И важно обратить внимание на слово «конкретный». То есть если цель указана как «соблюдение налогового, пенсионного, трудового законодательства», то она будет считаться слишком абстрактной.

Таким образом, первое, что нужно сделать – провести аудит процессов обработки персональных данных, по результатам которого привести их в соответствие с требованиями 152-ФЗ, а также доработать существующие локальные акты и при необходимости переподписать согласия с сотрудниками и другими субъектами ПД. Эти задачи могут быть решены как силами работников самой компании, так и внешними консультантами. 

Однако после приведения всех процессов внутри компании/холдинга в соответствие с требованиями законодательства о персональных данных требуется на постоянной основе поддерживать комплаенс. Для этих целей в компании/холдинге должен быть назначен Data Protection Officer (DPO) – ответственный за организацию обработки персональных данных. 

Процедура реагирования на запросы ПД

Очень существенно сократились сроки для реагирования на запросы госорганов, в данном случае Роскомнадзора, и субъектов персональных данных. Если раньше этот срок составлял 30 календарных дней, то сейчас это, как правило, лишь 10 рабочих дней.

Это касается запросов и работников, и пользователей сайта, которые могут уточнить, что именно вы обрабатываете, поэтому должен быть шаблон ответов на такие запросы и четкая процедура, кто именно отвечает на поступивший запрос.

Система реагирования на утечку ПД

Согласно новым требованиям законодательства, с момента, когда оператор обнаружил утечку ПД, отсчитывается очень сжатый срок, – всего лишь 24 часа для того, чтобы уведомить РКН о произошедшей утечке. И дополнительно дается 48 часов, чтобы сообщить о предварительных результатах расследования.

Для реализации этих требований в компании всегда должно быть лицо, ответственное за обработку персональных данных, – уже упомянутый DPO. Им может быть HR-специалист, главный кадровик, главный бухгалтер, юрист, но желательно, чтобы это был отдельный человек, который отвечает за вопросы юридического оформления и работу с персональными данными. Также этот вопрос находится в зоне ответственности специалиста по информационной безопасности, который отвечает за сохранность ПД и процедуру реагирования на их утечку. Должен быть четко выстроен внутренний регламент, в течение какого времени специалист информационной безопасности должен уведомить об утечке ответственного за обработку персональных данных, вышестоящее руководства и т.д.

Очень важно проводить регулярные тренинги для сотрудников – как для минимизации рисков утечки ПД, так и инструктаж, как вести себя, если, например, сотрудник понял, что, скачал вирус на свой компьютер, и какие-то данные скомпрометированы. Если все в компании понимают, какова должна быть последовательность действий в случае подобных инцидентов, то тогда можно выстроить действенную и эффективную процедуру как реагирования на инциденты, так и защиты от них.

Организация трансграничной передачи ПД

С 1 марта 2023 года вступили в силу новые правила о трансграничной передаче персональных данных. Теперь, если вы передаете персональные данные своих работников, пользователей сайта или иных граждан иностранным компаниям за рубежом, сначала необходимо будет подать уведомление о намерении осуществлять трансграничную передачу персональных данных, в котором для каждой цели необходимо указать категории субъектов, категории персональных данных, перечень передаваемых персональных данных, а также юрисдикцию, куда осуществляется передача, и кто в той юрисдикции получает персональные данные россиян. Причем если данные будут передаваться в те страны, которые, по перечню Роскомнадзора, не относятся к государствам, обеспечивающим их адекватную защиту, то процедура осуществления передачи будет значительно усложнена. 

Рассмотрим эту процедуру подробнее. Во-первых, до того, как вы что-то делаете, нужно прежде всего понять, – это трансграничная передача данных или нет. 

Если из российской компании вы передаете данные своему филиалу или представительству за рубежом, то трансграничной передачи нет. 

Трансграничная передача происходит только тогда, когда данные уходят из России и, по сути, пересекают границу РФ и попадают на территорию иностранного государства под контроль иностранного юрлица. То есть если, например, у вас есть дочерняя компания – самостоятельное юридическое лицо – в ОАЭ, Киргизии и т.д., и вы передаете ей ПД, то это будет трансграничная передача.

Отдельно отметим, что многие ошибочно считают, что трансграничной передачи нет при передаче данных интернету. Почти у каждого сайта всегда подключались две метрические системы для анализа поведения пользователей на данном Интернет-ресурсе – это Яндекс.Метрика и Гугл.Аналитика. И все думали, что это просто система, которая позволяет анализировать, насколько популярен сайт, какой контент размещать и т.д. На самом деле, это трансграничная передача, которая влечет все обязанности по соблюдению процедуры, которую мы рассмотрим далее.

Процедура бывает двух типов – в зависимости от того, куда передаются ПД. 

Первая – ПД передаются в те государства, которые, согласно перечню Роскомнадзора, обеспечивают адекватную защиту персональных данных. Если вы передаете данные в одну из таких стран, например, в Киргизию, Индию, Китай, то не обязательно получать согласие от субъекта на такую передачу в письменной форме и не требуется готовить справку о том, как регулируются ПД с юридической точки зрения в этой стране. Достаточно подать уведомление, где указываются цели такой трансграничной передачи, объем сведений, чьи данные передаются, то есть указать базовые сведения о такой передаче. И после направления уведомления можно сразу осуществлять трансграничную передачу, не дожидаясь формального решения РКН. 

Вторая – передача ПД в так называемые неадекватные юрисдикции, которые не обеспечивают адекватную защиту ПД, самым ярким примером является США. В этом случае после подачи уведомления нужно дождаться официального разрешения РКН на трансграничную передачу. Кроме того, РКН может запросить справку о том, как в этой стране регулируются ПД с точки зрения законодательства и правоприменительной практики. И эту справку нужно подготовить заранее, потому что будет всего лишь несколько рабочих дней для того, чтобы предоставить ее по запросу РКН.

Внеплановые проверки Роскомнадзора

Как известно, с 2020 года установлен мораторий на проведение плановых проверок работы с ПД со стороны Роскомнадзора. Однако этот мораторий не распространяется на внеплановые проверки, с которыми РКН может прийти в любую компанию. 

Внеплановые проверки РКН может проводить в двух основных случаях. 

1. Произошла утечка персональных данных с участием компании или есть подозрение на такую утечку.
2. РКН на протяжении определенного периода времени фиксировал систематические нарушения 152-ФЗ со стороны компании – так называемые индикаторы риска. Допустим, за календарный год поступило 5 или 10 жалоб физических лиц на деятельность компании, работу сайта, претензии от бывших сотрудников и т.п. Наличие таких жалоб является основанием для того, чтобы РКН пошел в прокуратуру, та в течение одного дня согласовывает эту проверку, и дальше РКН уведомляет компанию о проведении такой проверки за сутки до ее проведения. Соответственно, у компании будут ровно сутки для того, чтобы подготовиться к внеплановой проверке Роскомнадзора. 

В подобных случаях проводится выездная проверка, то есть сотрудники РКН приедут в офис, на производство, и начнут все проверять – начиная от локальных актов и заканчивая тем, где размещено предупреждение о наличии системы видеонаблюдения и т.д.

Таким образом, мы возвращаемся к тому, о чем говорили в начале статьи. Для того чтобы не опасаться внеплановых проверок, нужно провести аудит процессов обработки данных, разработать либо доработать локальные нормативные акты, выстроить четкую систему работу с ПД и реагирования на их утечку и т.п.

ОЦО обрабатывает ПД для головной компании: правовое регулирование

Отдельно рассмотрим распространенную ситуацию, когда ПД передаются в Общий центр обслуживания, созданный для холдинга/группы компаний. Правовое регулирование такой передачи ПД достаточно простое.

Когда компания/группа компаний передает ПД сотрудника другой компании, то она должна получить у него согласие на такую передачу. Логично это согласие получать в тот момент, когда эти данные забираются и в таком согласии прописывается, что юрлицо обрабатывает такой-то объем сведений для достижения целей номер один, номер два и номер три, и, например, для достижения целей номер один и номер два эти данные передаются другой компании – ОЦО – указывается название этой компании, реквизиты и прочее. Соответственно, от сотрудника/другого субъекта получено информированное согласие на обработку его ПД в ОЦО. Далее оформляются отношения между компанией/группой компаний и ОЦО, который как раз занимается обработкой ПД в рамках холдинга – заключается соглашение в виде поручения на обработку данных. Почему поручение? Потому что у ОЦО нет самостоятельной цели для обработки данных. Он выступает как дополнительный инструмент, который холдинг использует для того, чтобы упростить обработку данных. Именно поэтому в любом случае перед человеком и Роскомнадзором нести ответственность будет та компания из группы/холдинга, которая передала данные в ОЦО.

Далее ОЦО по поручению компании/группы компаний будет эти данные обрабатывать. В таком поручении логично предусмотреть, какие данные передаются, для каких целей, каких субъектов персональных данных. Также прописывается регламент реагирования на компьютерные инциденты, требования по безопасности и прочее. 

С точки зрения Федерального закона № 152-ФЗ никаких других документов не требуется – достаточно поручения на обработку ПД от всех компаний, входящих в группу, для данных, которые обрабатываются в ОЦО, плюс согласие от сотрудников/иных субъектов на работу с ПД третьим лицом. 

Резюме

В заключение хотелось бы обратить внимание на следующее. Мы рассмотрели, что нужно предпринять для эффективной работы с ПД. Однако все это – не единоразовое действие. Например, вы провели аудит персональных данных, разработали/ доработали ЛНА с учетом требований законодательства. Но важно понимать, что регулярно меняется не только законодательство, но и бизнес-процессы в вашей компании. Допустим, появилась новая компания в холдинге, которая тоже стала передавать персональные данные своих сотрудников в ОЦО, и это сразу требует новых документов и изменения ЛНА. Таким образом, поддержание системы работы с ПД в соответствие с требованиями законодательства – это постоянная процедура, о чем очень важно помнить во избежание проблем. 

Подробнее вопросы, возникающие у компаний при работе с персональными данными, обсудим на вебинаре Клуба ОЦО 2 октября. Регистрируйтесь и присоединяйтесь!