1 марта вступили в силу поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). На кого распространяется новый закон, при каких условиях и каким образом можно удалить свои персональные данные из общего доступа – в нашем материале.
Зачем нужен новый закон?
Закон направлен на создание механизмов защиты прав и свобод субъектов персональных данных, чьи персональные данные участвуют в общедоступном обороте. В соответствии с мнением депутатов Госдумы, действующая на момент внесения законопроекта на рассмотрение правовая конструкция позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Закона № 152-ФЗ.
Теперь субъект персональных данных имеет право обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки персональных данных. Требовать от оператора блокирования или уничтожения персональных данных можно было и раньше, однако с соблюдением условия – необходимо было доказать, что они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (в соответствии с ч. 1 ст. 14 Закона № 152-ФЗ).
Новый закон позволяет осуществлять соответствующие запросы только по причине того, что персональные данные принадлежат субъекту.
Основное отличие нововведений от предыдущей правовой конструкции заключается в том, что любой человек теперь сам может принять решение в отношении того, какие персональные данные могут использоваться публично. Субъект персональных данных сам устанавливает их перечень, при этом причины можно не указывать – оператор обязан удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу. Согласие должно быть выражено отдельно от других согласий на обработку персональных данных.
Что нового вводит закон в отношении законодательства о персональных данных?
Поправки вводят новый термин – персональные данные, разрешенные субъектом персональных данных для распространения. К ним относятся такие персональные данные, доступ неограниченного круга лиц к которым предоставлен их субъектом (подп. 1.1 ст.
3 Закона 152-ФЗ). Такое разрешение выражается путем дачи согласия на обработку персональных данных. Согласие должно оформляться отдельно от других согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории, указанной в таком согласии (ч.
1 ст. 10.1 Закона № 152-ФЗ). Субъект также имеет право ограничить обработку персональных данных оператором – например, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но без распространения (ч. 4 ст. 10.1 Закона № 152-ФЗ).
При этом молчание и бездействие субъекта персональных данных не является согласием на обработку (ч. 8 ст. 10.1 Закона № 152-ФЗ).
На кого распространяются положения закона?
Под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети. Таким образом согласие может быть предоставлено непосредственно оператору (в соответствии с п.1 ч. 6 ст.
10.1 Закона № 152-ФЗ), то есть направлено в письменном виде самой социальной сети. Впоследствии предоставление согласия можно будет совершать с использованием системы Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных – соответствующие поправки вступают в силу с 1 июля текущего года. Согласие должно быть рассмотрено оператором в срок не позднее трех рабочих дней (ч. 9 ст.
10.1 Закона № 152-ФЗ).
Каким образом можно прекратить обработку персональных данных в общем доступе?
Любое лицо, чьи персональные данные находятся в общем доступе, может прекратить такую обработку, включая передачу, распространение, предоставление и доступ к персональным данным. Закон определяет перечень сведений, которые должно содержать такое требование:
- ФИО;
- контактная информация (например, номер телефона, адрес электронной почты);
- перечень персональных данных, обработка которых подлежит прекращению.
Таким образом, с момента поступления оператору соответствующего требования прекращается действие согласия на обработку персональных данных, разрешенных для распространения. Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.
Также субъект имеет право обратиться с соответствующим требованием в суд (в соответствии с ч. 14 ст. 10.1 Закона № 152-ФЗ). Оператор обязан прекратить передачу персональных данных в срок, указанный во вступившем в законную силу решении суда.
Если такого указания в решении суда нет – в течение трех рабочих дней с момента вступления решения суда в законную силу.
Важно обратить внимание, что субъект персональных данных вправе обратиться с таким требованием к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений законодательства. Иными словами, гражданство и местонахождение оператора не имеют значения – если осуществляется обработка персональных данных субъекта-гражданина РФ, то требования закона на этот случай распространяется.
Какая ответственность предусмотрена для операторов за неисполнение требований закона?
Ответственность операторов за нарушение законодательства о персональных данных регламентируется ст. 13.11 КоАП. На данный момент санкции за обработку персональных данных без согласия субъекта предусмотрены следующие:
- для граждан – предупреждение или штраф в размере от 3 тыс. до 5 тыс. руб.;
- для должностных лиц – предупреждение или штраф от 10 тыс. до 20 тыс. руб.;
- для юрлиц – предупреждение или штраф от 15 тыс. до 75 тыс. руб.
С 27 марта текущего года вступят в силу поправки об ужесточении ответственности оператора за нарушение положений законодательства о персональных данных (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Во-первых, все существующие санкции в виде штрафов увеличиваются вдвое. Также упраздняется такой вид санкции как предупреждение.
И, наконец, устанавливаются санкции за повторное нарушение.
После вступления в силу поправок санкции будут предусмотрены следующие:
- для граждан – штраф в размере от 6 тыс. до 10 тыс. руб.;
- для должностных лиц – штраф от 20 тыс. до 40 тыс. руб.;
- для юрлиц – штраф от 30 тыс. до 150 тыс. руб.
При повторном нарушении предусмотрены следующие штрафы:
- для граждан – штраф в размере от 10 тыс. до 20 тыс. руб.;
- для должностных лиц – штраф от 40 тыс. до 100 тыс. руб.;
- для ИП – штраф от 100 тыс. до 300 тыс. руб.;
- для юрлиц – штраф от 300 тыс. до 500 тыс. руб.
Законодательство о персональных данных с 1 марта 2024 года: обзор наиболее важных изменений
С 1 марта 2024 года законодательство в области персональных данных (далее – ПД) было существенно изменено. Поговорим сегодня о новшествах, которые коснутся всех операторов ПД и о том, что нужно обязательно учитывать при работе с ПД.
Новый порядок направления уведомлений об изменениях
Согласно новым правилам, оператор ПД обязан уведомить Роскомнадзор об изменениях представленных им ранее сведений об обработке ПД, произошедших за месяц, в срок не позднее 15 числа следующего месяца (ч. 7 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Подается уведомление в отношении всех изменений.
По ранее действовавшим правилам такие уведомления в виде информационного письма направлялись не позднее 10 рабочих дней с момента изменения.
Уведомлять нужно об изменении сведений, содержащихся в уведомлении об обработке (начале обработки) ПД, которое является основанием для включения в реестр операторов персональных данных.
Как правило, за направление писем об изменении сведений об обработке ПД в компании отвечает лицо, ответственное за организацию обработки ПД.
Обращаем внимание: если уведомление не представлено, организацию могут привлечь к административной ответственности по ст. 19.7 КоАП РФ и оштрафовать на сумму до 5 тыс. руб.
Обязанность хранить доказательства уничтожения ПД в течение 3 лет
До вступления изменений в силу операторы самостоятельно определяли порядок фиксации факта уничтожения ПД.
С 1 марта 2024 года операторы при уничтожении ПД должны составить специальный документ – акт об уничтожении персональных данных.
Отметим, что организации и раньше могли оформлять такие документы. Кроме того, делать это рекомендовал Роскомнадзор. Однако с 1 марта 2024 года составлять такой акт нужно обязательно, и к данному документу предъявляются определенные требования.
Оператор должен составить акт в случаях:
- уничтожения материальных (бумажных) носителей, содержащих ПД (обработка без использования средств автоматизации);
- уничтожения ПД, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации).
Помимо прочего, акт об уничтожении должен содержать перечень категорий уничтоженных ПД, наименование уничтоженного носителя, содержащего ПД. В акте необходимо отразить, в частности:
- количество листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
- наименование информационной системы ПД, из которой данные были уничтожены (при их обработке с использованием средств автоматизации);
- способ и причину уничтожения.
Если обработка осуществлялась с использованием средств автоматизации, подтверждением факта уничтожения ПД послужит также выгрузка из журнала регистрации событий в информационной системе персональных данных (вместе с актом об уничтожении). Если указать часть данных в выгрузке невозможно, их можно отразить в акте. В рассматриваемом случае подтверждением будут оба способа, независимо от того, как обрабатывались ПД.
Минимальный срок, в течение которого необходимо хранить акты об уничтожении ПД и выгрузку из журналов регистрации событий – 3 года (Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»).
Отметим, что под уничтожением ПД понимаются действия, после осуществления которых невозможно восстановить содержание ПД. Например, шредирование материальных (бумажных) носителей ПД.
Уничтожение ПД оператор осуществляет:
- при отзыве субъектом ПД согласия на их обработку;
- после достижения целей обработки или в случае утраты необходимости в достижении этих целей;
- если их обработка неправомерна (например, если Роскомнадзор отказал в трансграничной передаче ПД иностранным лицам);
- при получении требования от субъекта ПД об уничтожении его данных в случае, если они являются незаконно полученными, неполными, неточными, устаревшими, или не являются необходимыми для цели обработки.
Важно правильно оформлять акты и выписки, поскольку именно эти документы обезопасят оператора в случае претензий со стороны субъектов ПД и Роскомнадзора и позволят подтвердить прекращение обработки определенных данных.
Обращаем внимание: если Роскомнадзор или субъект ПД потребует уничтожения данных, а оператор не выполнит требование, и если при этом ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания может быть привлечена к административной ответственности по ч. 5 ст. 13.11 КоАП РФ. Штраф за такое нарушение установлен в размере до 90 тыс. руб.
В то же время правильно оформленным Актом об уничтожении (и выпиской) компания сможет доказать выполнение обязанности и обезопасит себя от разбирательств.
Правильное сообщение об утечке персональных данных
Вступил в силу Порядок взаимодействия Роскомнадзора и операторов ПД в рамках ведения реестра учета инцидентов в области ПД (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. № 187).
Под инцидентом следует понимать любой факт, повлекший неправомерную передачу (предоставление, распространение, доступ) ПД. Операторы обязаны уведомлять Роскомнадзор о таких фактах, повлекших нарушение прав субъектов ПД.
Уведомление может быть первичным (должно быть представлено в течение 24 часов) или дополнительным (предоставляется в течение 72 часов).
Первичное уведомление должно содержать сведения о произошедшем инциденте, его возможных причинах, предполагаемом вреде субъекту ПД, а также возможные меры по устранению вреда.
Дополнительное уведомление должно содержать сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования они были выявлены.
Отметим, что у Роскомнадзора есть право запросить дополнительную информацию, если он посчитает, что предоставленные оператором сведения были недостаточными или недостоверными. В таком случае у оператора появляется обязанность предоставить запрашиваемые сведения в 3-дневный срок.
Роскомнадзор может направить оператору требование о предоставление уведомления, если обнаружит утечку его баз данных. Направляя в ответ уведомление, оператор ПД вправе указать, что не выявлял факта утечки данных и приложить доказательства того, что утечки не было. В качестве такого доказательства может выступать акт, содержащий результаты внутреннего расследования.
Новые правила оценки вреда
Вступили в силу и будут действовать до 1 марта 2029 года Требования к оценке вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона «О персональных данных» (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178).
Установлено, что оценку вероятного вреда должно осуществлять лицо, ответственное за организацию обработки ПД либо созданная оператором комиссия.
Для целей оценки вреда указанные субъекты определяют одну из степеней вреда, который может быть причинен субъекту ПД в случае нарушения Федерального закона «О персональных данных». Степени разделены на три категории: высокую, среднюю или низкую.
Для определения степени вреда оцениваются разные факторы, в том числе:
- обработка ПД несовершеннолетних лиц;
- распространение ПД на сайте;
- обработка биометрических ПД или специальных категорий ПД (о национальной, расовой принадлежности, религиозных убеждениях и др.);
- обезличивание ПД, в том числе для оказания специализированных услуг;
- поручение обработки ПД иностранным лицам или сбор данных с использованием баз, находящихся за границей;
- продвижение товаров и услуг через контакты с потребителями с использованием собственных баз ПД;
- получение согласия на обработку ПД посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПД и другие факторы.
Результаты оценки необходимо зафиксировать в акте оценки вреда.
Если оценка вреда покажет, что субъекту ПД могут быть причинены разные степени вреда, применению подлежит более высокая степень вреда.
Конкретные меры ответственность за непроведение оценки вреда законодатель не установил, однако если нарушение будет выявлено в ходе проводимой Роскомнадзором проверки, его нужно будет устранить. Роскомнадзор вправе выдать компании соответствующее предписание.
Подведем итог сказанному.
Законодательство о ПД постоянно изменяется и дополняется. При этом оператору ПД необходимо быть в курсе всех изменений, поскольку незнание не освобождает от ответственности, а неисполнение обязательных требований влечет санкции.
Для исключения нарушений законодательства и вызванных ими неблагоприятных последствий рекомендуем предпринимателям:
- Регулярно анализировать процессы обработки ПД для их своевременной актуализации, в том числе в реестре операторов ПД. Необходимость таких мероприятий вызвана тем, что в процессе проверки Роскомнадзор сверяет данные, содержащиеся во внутренней документацией компании с данными из реестра.
- Разработать и утвердить внутренние документы (регламенты), регулирующие вопросы:
Это могут быть, например:
- регламент по учету, хранению носителей персональных данных и уничтожению персональных данных;
- регламент определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных и оценке вреда субъекта персональных данных;
- регламент по проведению внутренних контрольных мероприятий и реагированию на инциденты информационной безопасности в информационных системах персональных данных и иных инцидентов в области персональных данных.
- Разработать и утвердить формы (шаблоны) соответствующих актов (об уничтожении ПД, об оценке вреда) и выписок их журналов событий информационной системы персональных данных.
Указанные мероприятия потребуют от специалистов компании специальных знаний и временных затрат. Для экономии времени рекомендуем доверить процессы анализа документации компании, оценки возможных рисков и разработки необходимых актов профессиональным юристам.
Защита персональных данных: обзор последних нововведений
Повсеместная цифровизация обоснованно поднимает вопрос о защите персональных данных граждан. В связи с этим все чаще пользователи сталкиваются с несанкционированным распространением их персональных данных в различных сферах, напоминает председатель Комиссии Общественной палаты РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Рифат Сабитов в ходе круглого стола «Россияне – хозяева своих персональных данных», организованным Общественной Палатой РФ. С целью предотвращения нелегальной обработки персональных данных принимаются законодательные и подзаконные акты, правомочные усилить их защиту, – с каждым годом частота их появления увеличивается, что говорит о заинтересованности государственных органов урегулировать данный вопрос.
Разберемся, какие нововведения, регулирующие оборот персональных данных, появились за последнее время, а также выясним мнение экспертного сообщества по вопросам уровня защиты персональных данных на государственном уровне.
Доверие граждан по вопросу защиты персональных данных – что говорит статистика
На данный момент от обработки персональных данных и применения информационных ресурсов зависит глобальный процесс цифровизации в России – от развития цифровой экономики до создания комфортных государственных сервисов, заметил руководитель рабочей группы ОП РФ по законодательству в сфере интернет-технологий и цифровизации Вадим Виноградов. Эксперт заметил, что персональные данные должны быть защищены именно со стороны государства. Действительно, результаты статистических исследований демонстрируют низкий уровень уверенности граждан в том, что они самостоятельно способны защитить свои персональные данные – так, например, в исследовании Института статистических исследований и экономики знаний НИУ ВШЭ количество таких граждан составляет более 50% 1 . Как следует из результатов опроса, 81% респондентов согласились с тем, что они могут положиться на государство в вопросе защиты своих персональных данных.
При этом более трети россиян (37%) не осведомлены о том, в каких целях могут быть использованы их персональные данные, как следует из совместного исследования ВЦИОМ и Ассоциации больших данныха 2 . По данным этого опроса, большинство респондентов чувствуют свою незащищенность от краж или утечек персональных данных – 48% уверены в том, что их данные скорее не защищены, в то время как 26% выразили мнение об абсолютном отсутствии соответствующей защиты. Как отметил директор Регионального общественного центра интернет-технологий (РОЦИТ) Рустам Сагдатулин, проведенные исследования отношения граждан к регулированию в сфере персональных данных показало, что пользователи одобряют меры по регулированию интернет-пространства, а также поддерживают меры по противодействию мошенничеству и обеспечению сохранности их личных данных.
Новое в регулировании защиты персональных данных
Как утверждает заместитель руководителя Роскомнадзора Вагнер Милош, появление новых законодательных инициатив в первую очередь связано со стремлением усилить защиту прав граждан – субъектов персональных данных. Одним из наиболее важных нововведений в этом году стало принятие поправок в закон о персональных данных в части общедоступных данных. Напомним, 1 марта вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
Ранее ГАРАНТ.РУ писал – появились нормы, регламентирующие новый порядок удаления персональных данных из общего доступа. Теперь субъект персональных данных может обратиться к любому оператору персональных данных с требованием удалить их из общего доступа без дополнительных условий доказывания факта неправомерной обработки его персональных данных.
1 сентября вступил в силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Документ регламентирует содержание согласия, а именно – перечень сведений о субъекте персональных данных (Ф.И.О. и контактную информацию) и об операторе (включая сведения об информационных ресурсах, с помощью которых будет осуществляться действия с персональными данными). Также согласие должно содержать цели обработки персональных данных, категории и перечень персональных данных, на обработку которых дается согласие или устанавливаются запреты со стороны субъекта персональных данных. При этом согласие должно содержать условия, при которых данные могут передаваться оператором.
Новое согласие также должно включать срок действия.
Автор мартовских поправок в отношении общедоступных персональных данных, депутат Госдумы Антон Горелкин, объяснил, что основной смысл нововведений состоял в том, чтобы дать гражданам возможность принимать решение о том, какую информацию о себе и на каких условиях следует предоставить интернет-платформам. По мнению депутата, до принятия поправок возникали сложности с удалением персональных данных с сайтов и агрегаторов. По его словам, платформы использовали персональные данные интернет-пользователей для дальнейшей монетизации, что представляло собой выгодный бизнес.
Антон Горелкин, депутат Госдумы :
«С 1 марта у пользователей интернет-ресурсов должны спрашивать отдельное согласие на распространение личной информации. При регистрации теперь недостаточно проставление галочки под пользовательским соглашением, должен быть отдельный вопрос с возможностью прямого ответа на него. Недопустимо применение шаблона «подразумевается по умолчанию» и прочего «юридического камуфляжа» – только прямое согласие по форме, утвержденным новым приказом Роскомнадзора.
Это переход к новому ответственному стилю отношений между интернет-бизнесом и пользователями».
Принятие новых законов позволяет расширить возможности граждан предпринимать самостоятельные действия по регулированию оборота их персональных данных, считает Вагнер Милош. Теперь граждане могут требовать от операторов персональных данных восстановления своих прав только по причине того, что данные относятся к субъектам, без соблюдения дополнительных условий. При этом такие требования могут удовлетворяться быстрее, чем раньше.
Выражая позицию Роскомнадзора эксперт заметил, что новые законодательные инициативы перекладывают бремя доказывания о правомерности или неправомерности обработки персональных данных с субъекта на оператора. При этом оператор обязан прекратить их передачу (то есть распространение, предоставление и доступ) в течение трех рабочих дней с момента получения требования субъекта персональных данных.
По мнению первого заместителя председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Ирины Рукавшиниковой на данный момент рано подводить итоги об эффективности нововведений, должно пройти время для оценки их применения. Однако уже можно сделать промежуточные выводы о том, что на практике граждане все-таки сталкиваются с проблемными ситуациями. Эксперт приводит в пример ситуацию, при которой пользователь обращается к интернет-платформе с требованием удалить персональные данные. При этом в лучшем случае между ними происходит спор по переписке, в результате которого выясняется, что платформа не считает персональными данными определенную личную информацию о гражданине.
А чаще всего платформы не отвечают на запросы пользователей. Фактически, на такое обращение пользователь получает отказ, с которым обращается в Роскомнадзор, у которого, по мнению эксперта, недостаточно полномочий пресечь нарушение и прекратить распространение персональных данных. В связи с этим субъект персональных данных должен обращаться в суд за защитой своих прав.
Иными словами, регламентированная законом о персональных данных процедура на практике не оказывается такой эффективной, резюмировала Ирина Рукавшиникова.
С коллегой согласен другой эксперт, Александр Журавлев, председатель Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России. Он отмечает, что регламентируемые в законе способы защиты прав граждан – обращение к Роскомнадзору или в суд (взыскание морального ущерба или убытков) – не являются эффективными. Так, взыскание морального вреда является достаточно сложным по доказыванию процессом, так как для этого нужно делать медицинские справки и освидетельствования, объясняет эксперт.
Размер компенсаций составляет от 5 тыс. до 15 тыс. руб. Взыскание убытков за счет необходимости доказывать причинно-следственную связь между действиями или бездействием оператора, нарушением прав субъектов персональных данных – на сегодняшний день эта процедура представляется практически невозможной, уверен Александр Журавлев. Таким образом из-за сложности доказывания и отсутствие дополнительных возможностей, которые помогали бы субъекту персональных данных защищать свои права, случаев обращения в суд за взысканием убытков нет.
Среди новых инициатив также можно выделить подготовленный 2 сентября Министерством цифрового развития, связи и массовых коммуникаций РФ проект приказа, который размещен на портале проектов нормативных правовых актов для общественного обсуждения, которое окончится 16 сентября 3 . Он регламентирует порядок уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима (ЭПР) в сфере цифровых инноваций в случае прекращения статуса субъекта ЭПР. Согласно документу, такие персональные данные должны быть заблокированы в срок не позднее окончания рабочего дня, следующего за днем прекращения статуса субъекта ЭПР, а затем уничтожены в срок до 7 рабочих дней. При этом факт уничтожения должен быть зафиксирован и передан Роскомнадзору, ФСБ и уполномоченному лицу (разъяснений в отношении данного субъекта в документе не предоставляется).
Проблема соблюдения требования о локализации
Одной из наиболее актуальных проблем в области соблюдения закона о персональных данных является невыполнение требований о локализации. Напомним, что в соответствии с законом при обработке персональных данных оператор обязан использовать базы данных, находящиеся на территории России (в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных»).
В особенности это касается крупных интернет-компаний, в отношении которых за последнее полугодие число административных протоколов, составленных Роскомнадзором, увеличилось – такие заявления периодически появляются в СМИ. Так, например, 26 августа Таганский районный суд Москвы оштрафовал WhatsApp (принадлежит Facebook Inc) за нарушение требования о локализации (в соответствии с ч. 8 ст. 13.11 КоАП РФ), а также Facebook (Facebook Inc) и Twitter (Twitter Inc) за повторные нарушения (в соответствии с ч. 9 ст. 13.11 КоАП РФ) 4
Необходимость наличия требования о локализации персональных данных Вагнер Милош объясняет тем, что интернет-площадки являются одними из крупнейших операторов персональных данных. Эксперт напомнил, что крупные операторы персональных данных, ведущие свою деятельность в Интернете, зачастую не исполняют такое требование и не платят штрафы. Он считает, что основная проблема заключается в том, что размеры штрафов, предусмотренные КоАП РФ, не представляются значительными для транснациональных компаний. Напомним, что невыполнение юридическими лицами требования о локализации влечет наложение штрафа в размере от 1 млн до 6 млн руб. (ч. 8 ст.
13.11 КоАП РФ), при повторном нарушении – от 16 млн до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ). Милош Вагнер считает, что сложившая ситуация может выступить направлением для дальнейшего изменения законодательства, например, для корректировки размера штрафа в соответствии с размером компаний.
С экспертом согласен Александр Журавлев: он напомнил, что в сравнении с другими правопорядками, в России такие штрафы за подобные правонарушения значительно ниже штрафов, применяемых во многих странах мира.
Какие проблемы не охватывает текущее законодательное регулирование?
Представители государственных органов обратили внимание, что значительную часть актуальных проблемных моментов нововведения все еще не охватывают. По мнению Ирины Рукавшиниковой, одним из наиболее важных для обсуждения вопросов является требование чрезмерного количества персональных данных, которые не нужны для оказания определенной услуги. Так, например, для того, чтобы взять велосипед на прокат в Москве требуется предъявить не только номер банковской карты, но и скан паспорта. Эксперт считает такие требования избыточными.
Действительно, такие требования могут нарушать один из принципов обработки персональных данных, согласно которому содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 3 закона о персональных данных).
Законом определено, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При этом при отказе предоставлять требуемые оператором персональные данные субъекту отказывают в предоставлении услуги. Ирина Рукавшиникова считает, что избежать данную проблему поможет законодательное ограничение для запрета неправомерного и необоснованного сбора персональных данных, когда это не обусловлено характером деятельности или услуг оператора.
1 С текстом исследования и материалами к нему можно ознакомиться на официальном сайте Института статистических исследований и экономики знаний НИУ ВШЭ.
2 С текстом исследования и материалами к нему можно ознакомиться на официальном сайте ВЦИОМ.
3 С текстом проекта постановления Минцифры РФ «Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима» и материалами к нему можно ознакомиться на федеральном портале проектов нормативных правовых актов (ID: 01/02/09-21/00119927).
4 С новостью можно ознакомиться на официальном сайте Роскомнадзора.