Новые данные
Изменения в законе «О персональных данных» повлияют на операторов информационного рынка. К каким последствиям готовиться руководителям компаний?
Денис Лукаш, DPO Infobip, юрист в области информационного права
В первый день осени изменились многие положения российского закона «О персональных данных». Большинство поправок, вступивших в силу 1 сентября 2022 года, носят процедурный характер. С этим под силу разобраться специалистам. Однако некоторые изменения напрямую коснутся собственников бизнеса и топ-менеджеров, поскольку существенно влияют на отношения компаний с контрагентами и государственными органами, потребуют пересмотра бизнес-процессов в международном обмене данными и внутри России.
Границы стали прозрачнее
Государство в своих интересах повысило прозрачность трансграничной передачи персональных данных. Все, кто передавал такие данные в другие страны до 1 сентября 2022 года, должны уведомить об этом Роскомнадзор не позднее 1 марта 2023 года. С 1 сентября 2022 года ставить в известность ведомство о планах передачи данных компаниям необходимо предварительно — до начала отправки.
В случае если вы передаете данные в страны, не обеспечивающие необходимый уровень защиты прав субъектов персональных данных, например в США, нужно дождаться разрешения Роскомнадзора и понимать, что ведомство может ответить отказом, ссылаясь на пункты Федерального закона «О персональных данных».
Роскомнадзор может запретить трансграничную передачу по прошествии времени.
Ведомство имеет право:
• негативно оценить представленные сведения. Запросить дополнительную оценку трансграничной передачи, которую нужно предоставить до направления уведомления;
• усомниться в законности и необходимости передавать данные — даже в том случае, если вы передаете эти сведения в свою головную компанию;
• запланировать будущие проверки на основе ранее предоставленных сведений;
• по результатам проверки составить протокол об административном правонарушении и вынести предписание об устранении причин и условий этого нарушения.
В связи с этим российские компании должны оценить бизнес-риски, связанные с передачей данных за границу. Начать нужно с анализа всех международных потоков данных, в том числе передаваемых контрагентам. Например, использование контрагентом сервисов Google для обработки ваших данных — это угроза.
Одно из принципиальных изменений текста закона связано с повышением прозрачности деятельности того, кто осуществляет обработку персональных данных, — так называемого обработчика. Теперь компании-операторы могут проводить аудит обработчика данных, ссылаясь на положения закона. Это означает, что компаниям следует самим проверять политику и процедуры, которыми пользуются партнеры при работе с данными. Среди таких контрагентов могут быть, например, кадровые агентства, провайдеры хостинга, внешние кол-центры.
С одной стороны, это положительные изменения для рынка, поскольку меры по защите данных, прописанные в договорах, могут реализовываться формально или просто декларироваться.
С другой стороны, государство смещает баланс ответственности на компании, как бы давая им гражданско-правовые механизмы. Однако к тому, как эти меры будут работать на практике, есть вопросы, особенно в отношении обработчиков из других юрисдикций.
Как изменится реальность
Опираясь на опыт, выскажу предположения, что будет происходить на рынке B2B в связи с изменениями закона.
1. Операторы персональных данных:
• ужесточат процедуры аудита контрагентов, обрабатывающих персональные данные по их поручению;
• будут серьезно проверять обработчиков (особенно крупные компании-операторы). К таким подрядчикам будут предъявляться жесткие требования по обеспечению безопасности данных. За нарушение этих условий будут предусмотрены штрафы;
• везде, где это возможно, исключат из договора поручения на обработку персональных данных, чтобы избежать ответственности за нарушения со стороны контрагента. Например, компании будут нанимать кадровые агентства при условии, что те будут готовы самостоятельно заключить договор с кандидатом на поиск работы. Это дает такому кадровому агентству статус самостоятельного
оператора персональных данных;
• учитывая описанные выше угрозы последствий передачи данных при международном обмене, будут стремиться уменьшить количество контрагентов-обработчиков с трансграничными потоками данных.
2. Обработчики персональных данных:
• ограничат объем информации о своей деятельности. Во взаимоотношениях с заказчиками обработчики будут ссылаться на конфиденциальность мер защиты, доступа к технологиям, данных о своих работниках и т.д.;
• будут стараться убрать неустойки и штрафы из текстов договоров, ограничивать сроки, глубину, порядок аудита. Они будут стремиться свести к минимуму условия, которые закон предписывает иметь в договоре между оператором и обработчиком;
• закроют информацию о субобработчиках там, где это возможно;
• начнут привлекать должностных лиц по защите данных к сопровождению продаж услуг и продуктов. Эти должностные лица, наделенные теперь большими полномочиями, будут оценивать бизнес-риски и управлять этими рисками.
Как видно, интересы операторов и обработчиков серьезно расходятся. Ключевой вопрос, по которому будут возникать разногласия, — информационная прозрачность обработчиков. Пока на рынке этой прозрачности, честно говоря, нет. В новых условиях подобная прозрачность становится необходимым условием и даже конкурентным преимуществом обработчиков.
Пять советов
Что нужно сделать в ближайшее время, если вы передали обработку персональных данных другому юридическому лицу:
1. Разработать или обновить политику и процедуры проверки контрагентов на предмет законности обработки персональных данных.
2. Провести аудит контрагентов по упомянутой выше процедуре, определить возможные риски.
3. Принять решение о работе с конкретными контрагентами.
4. При необходимости оценить риски и найти пути решения проблем, внедрить метрики и систему контроля.
5. Периодически проводить повторную оценку контрагентов.
Процедура проверки контрагентов должна включать аудит трансграничной передачи персональных данных, всех информационных систем и технологий, взаимодействия между ними. Особое внимание нужно уделить контрагентам в странах, которые не обеспечивают надлежащую защиту прав субъектов персональных данных. В этом списке могут оказаться и страна регистрации, и страна местонахождения серверов. Тестирование эффективности работы с контрагентами можно начать с отношений между юрлицами внутри группы компаний.
Материал был опубликован в ноябрьском номере журнала F Club в 2022 году