3 принципиальных момента:
1. Повышение прозрачности при трансграничной передаче персональных данных и возможность ее ограничения государством.
2. Повышение прозрачности Обработчика данных.
3. Риск технической экспертизы IT инфраструктуры с донесением в Роскомнадзор о несоответствии "бумажной" защиты персональных данных фактической.
Произошло накопление проблем у тех, кто:
1. Скрывал отсутствие локализации персональных данных, скрывал "сомнительные" цели обработки персональных данных, другим способом нарушал 152-ФЗ или использовал (некоторые уже исправленные) пробелы законодательства.
2. Проводил (псевдо?) прайваси-комплаенс без учета рекомендаций Роскомнадзора по содержанию политики в отношении обработки персональных данных, по которой цели и перечень данных подлежали выявлению и формализации с последующим учетом в различных политиках и процедурах (но этого часто хватало, что бы пройти проверку Роскомнадзора).
Переоценены изменения, связанные:
1. С содержанием и заключением договора с субъектом персональных данных.
2. С уведомлением Роскомнадзора по ст. 22 152-ФЗ об обработке персональных данных.
3. С согласиями на обработку персональных данных.
Почему новые положения 152-ФЗ о трансграничной передаче имеют сильное воздействие на бизнес (если убрать всю воду).
1. Все кто осуществляет трансграничную передачу должны провести оценку трансграничной передачи и уведомить Роскомнадзор до 01.03.2023. Казалось бы эта всего лишь новая процедурная наргрузка. Однако Роскомнадзор дополнительным запросом может запросить результат оценки.
Кто-то за уже работающий бизнес может по ситуации:
- принимать решение о правомерности работы с определенным контрагентом,
- использовать сведения для будущей проверки,
- получает возможность использовать сведения для составления протокола АП.
Получается, что к подотчетным документам предъявляются высокие требования, они должны быть в пригодном (как доказательство) виде для передачи в суд для целей защиты бизнеса.
2. Роскомнадзор может запретить трансграничную передачу в определенные страны по ряду общественно-значимых причин спустя длительное время. Проблема в том, что у бизнеса нет 100%-ных механизмов предсказать такой запрет (хотя бы из-за слов в законе "интересов на международной арене "), а разумный срок (часто полгода - срок в предписании) на изменение бизнес-процессов давать по закону не обязаны.
3. По логике новой редакции закона, трансграничная передача будет с нарушением закона, если происходит без уведомления Роскомнадзора о трансграничной передаче, либо если ранее Роскомнадзор запретил такую передачу. О факте неправомерной передачи нужно сообщать в Роскомнадзор, как об инциденте.
4. Еще одна небольшая проблема (по сравнению с вышесказанным). После запрета на трансграничную передачу Роскомнадзором Оператор отвечает за удаление контрагентом всех переданных ему трансгранично персональных данных. Как упоминал Роскомнадзор, есть передача с поручением и без поручения.
- При поручении это можно отнести ко всей цепочке "Обработчиков", находящихся за границей, однако Оператору здесь даны только гражданско-правовые механизмы в юрисдикции РФ.
- При передаче (без поручения) иностранный контрагент, принимающий персональные данные, вообще становится самостоятельным Оператором в национальной юрисдикции (например, контролером по GDPR).
И чуть подробнее:
Одно из принципиальных изменений 152-ФЗ - это повышение прозрачности “Обработчика” перед оператором персональных данных за счет возможности аудита “Обработчика” со стороны Оператора ПД.
Для тех, кто не так близок к теме персональных данных, это, в частности, затрагивает B2B/B2G рынок, где исполнители (провайдеры хостинга, кадровые агентства, внешние колл-центры и т.д.) могут что-то делать с персональными данными, контролируемыми его заказчиком.
С одной стороны - это положительное для рынка дополнение, так как сама обязанность прописывать меры по защите данных в договоре толком ничего не дает.
Прописать в качестве внутренней обязанности коммерческой компании можно все что угодно. При наличии спора внутренние документы в коммерческой компании составляются очень быстро с нужным текстом, выявить недобросовестность контрагента сложно.
С другой - государство закрепляет смещение баланса ответственности на стороне Оператора персональных данных, “как бы “ взамен давая ему гражданско-правовые механизмы. Есть много вопросов к тому, как будут работать эти механизмы, особенно с "Обработчиками" из других юрисдикций и его "Со-обработчиками".
Ниже мнение о том, что будет происходит на B2B рынке:
Операторы персональных данных:
1. Опираясь на ч. 3 ст. 6, ч. 5 ст. 18, ст. 18.1, ст. 19, ч. 3 ст. 21 152-ФЗ (и некоторые другие положения) будут вводить/дополнять процедуры аудита контрагента, обрабатывающего персональные данные по их поручению.
2. Крупные компании (корпорации) будут проверять "Обработчиков" серьезней, выбирать исполнителей/подрядчиков с более высоким уровнем “Privacy-зрелости”, явно прописывать крупные неустойки/штрафы за нарушение договора (условий поручения обработки).
3. Будет больше желания передавать данные без поручения обработки где это возможно исходя из вида деятельности контрагента (с навязыванием изменений бизнес-процессов контрагенту).
“Обработчики” персональных данных:
1. Будут стараться ограничивать предоставление информации играя на конфиденциальности мер защиты, ограничении доступа к технологиям, ограничении данных о своих работниках и т.п.
2. Использовать возможность создавать внутренние документы в любой момент с нужными условиями для контрагента, стараться убирать неустойки/штрафы в договорах, ограничивать сроки, глубину, порядок аудита.
3. Ограничивать информацию о “Со-обработчиках”, где это возможно.
4. Привлекать DPO (юриста по ПДн) к сопровождению продаж услуг/продуктов, в некоторых случаях до аналогии с работой Пресейл Инженера. Работа DPO у крупных “Обработчиков” будет еще больше связана с управлением бизнес-рисками (не путать с рисками нарушения прав субъектов ПД).
Нюансы
Перечень решений мировых судей судебного участка Таганского района Москвы за период январь-август 2022г. о привлечении компаний к административной ответственности за отсутствие локализации баз с ПД граждан РФ (ч.8 и ч.9 ст.13.11 КоАП РФ):
🔸MyHeritage - 1,5М ₽ (ч.8) 👉 ссылка тут
🔸Likee - 1,5М ₽ (ч.8) 👉 жми
🔸Pinterest - 2М ₽ (ч.8) 👉еще одна ссылочка
🔸Twitch - 2М ₽ (ч.8) 👉 подробности
🔸Airbnb - 2М ₽ (ч.8) 👉 дело тут
🔸UPS - 1М ₽ (ч.8) 👉 кейс с подробностями
🔸Zoom - 1М ₽ (ч.8) 👉 немного подробнее
🔸Ookla - 1М ₽ (ч.8), 21.09.2022 👉рассмотрение жалобы на постановление
🔸Apple - 2М ₽ (ч.8), 21.09.2022 👉рассмотрение жалобы на постановление
🔸Google - 15М ₽ (ч.9) 👉 нюансы
🔸WhatsApp - 18М ₽ (ч.9) 👉 и мессенджер пострадал
🔸Match Group (Tinder) - 2М ₽ (ч.8) 👉 и этих "накрыло"
🔸Snapchat - 2М ₽ (ч.8) 👉 тонкости и подробности
🔸Spotify - 0,5М ₽ (ч.8) 👉 никто не скрылся
АНО ИКАР разрабатывает внутренние нормативные документы в рамках требований 152-ФЗ и сопровождает проверки надзорного органа.