Несколько слов с позиции практикующего DPO о новой редакции 152-ФЗ. 3 принципиальных момента:
1. Повышение прозрачности при трансграничной передаче персональных данных и возможность ее ограничения государством. 2. Повышение прозрачности Обработчика данных. 3. Риск технической экспертизы IT инфраструктуры с донесением в Роскомнадзор о несоответствии "бумажной" защиты персональных данных фактической.
Произошло накопление проблем у тех, кто: 1. Скрывал отсутствие локализации персональных данных, скрывал "сомнительные" цели обработки персональных данных, другим способом нарушал 152-ФЗ или использовал (некоторые уже исправленные) пробелы законодательства. 2. Проводил (псевдо?) прайваси-комплаенс без учета рекомендаций Роскомнадзора по содержанию политики в отношении обработки персональных данных, по которой цели и перечень данных подлежали выявлению и формализации с последующим учетом в различных политиках и процедурах (но этого часто хватало, что бы пройти проверку Роскомнадзора).
Переоценены изменения, связанные: 1. С содержанием и заключением договора с субъектом персональных данных. 2. С уведомлением Роскомнадзора по ст. 22 152-ФЗ об обработке персональных данных. 3. С согласиями на обработку персональных данных.
Почему новые положения 152-ФЗ о трансграничной передаче имеют сильное воздействие на бизнес (если убрать всю воду).
1. Все кто осуществляет трансграничную передачу должны провести оценку трансграничной передачи и уведомить Роскомнадзор до 01.03.2023. Казалось бы эта всего лишь новая процедурная наргрузка. Однако Роскомнадзор дополнительным запросом может запросить результат оценки. Кто-то за уже работающий бизнес может по ситуации: - принимать решение о правомерности работы с определенным контрагентом, - использовать сведения для будущей проверки, - получает возможность использовать сведения для составления протокола АП. Получается, что к подотчетным документам предъявляются высокие требования, они должны быть в пригодном (как доказательство) виде для передачи в суд для целей защиты бизнеса.
2. Роскомнадзор может запретить трансграничную передачу в определенные страны по ряду общественно-значимых причин спустя длительное время. Проблема в том, что у бизнеса нет 100%-ных механизмов предсказать такой запрет (хотя бы из-за слов в законе "интересов на международной арене "), а разумный срок (часто полгода - срок в предписании) на изменение бизнес-процессов давать по закону не обязаны.
3. По логике новой редакции закона, трансграничная передача будет с нарушением закона, если происходит без уведомления Роскомнадзора о трансграничной передаче, либо если ранее Роскомнадзор запретил такую передачу. О факте неправомерной передачи нужно сообщать в Роскомнадзор, как об инциденте.
4. Еще одна небольшая проблема (по сравнению с вышесказанным). После запрета на трансграничную передачу Роскомнадзором Оператор отвечает за удаление контрагентом всех переданных ему трансгранично персональных данных. Как упоминал Роскомнадзор, есть передача с поручением и без поручения. - При поручении это можно отнести ко всей цепочке "Обработчиков", находящихся за границей, однако Оператору здесь даны только гражданско-правовые механизмы в юрисдикции РФ. - При передаче (без поручения) иностранный контрагент, принимающий персональные данные, вообще становится самостоятельным Оператором в национальной юрисдикции (например, контролером по GDPR).
И чуть подробнее:
Одно из принципиальных изменений 152-ФЗ - это повышение прозрачности “Обработчика” перед оператором персональных данных за счет возможности аудита “Обработчика” со стороны Оператора ПД.
Для тех, кто не так близок к теме персональных данных, это, в частности, затрагивает B2B/B2G рынок, где исполнители (провайдеры хостинга, кадровые агентства, внешние колл-центры и т.д.) могут что-то делать с персональными данными, контролируемыми его заказчиком.
С одной стороны - это положительное для рынка дополнение, так как сама обязанность прописывать меры по защите данных в договоре толком ничего не дает. Прописать в качестве внутренней обязанности коммерческой компании можно все что угодно. При наличии спора внутренние документы в коммерческой компании составляются очень быстро с нужным текстом, выявить недобросовестность контрагента сложно.
С другой - государство закрепляет смещение баланса ответственности на стороне Оператора персональных данных, “как бы “ взамен давая ему гражданско-правовые механизмы. Есть много вопросов к тому, как будут работать эти механизмы, особенно с "Обработчиками" из других юрисдикций и его "Со-обработчиками".
Ниже мнение о том, что будет происходит на B2B рынке:
Операторы персональных данных:
1. Опираясь на ч. 3 ст. 6, ч. 5 ст. 18, ст. 18.1, ст. 19, ч. 3 ст. 21 152-ФЗ (и некоторые другие положения) будут вводить/дополнять процедуры аудита контрагента, обрабатывающего персональные данные по их поручению.
2. Крупные компании (корпорации) будут проверять "Обработчиков" серьезней, выбирать исполнителей/подрядчиков с более высоким уровнем “Privacy-зрелости”, явно прописывать крупные неустойки/штрафы за нарушение договора (условий поручения обработки).
3. Будет больше желания передавать данные без поручения обработки где это возможно исходя из вида деятельности контрагента (с навязыванием изменений бизнес-процессов контрагенту).
“Обработчики” персональных данных:
1. Будут стараться ограничивать предоставление информации играя на конфиденциальности мер защиты, ограничении доступа к технологиям, ограничении данных о своих работниках и т.п.
2. Использовать возможность создавать внутренние документы в любой момент с нужными условиями для контрагента, стараться убирать неустойки/штрафы в договорах, ограничивать сроки, глубину, порядок аудита.
3. Ограничивать информацию о “Со-обработчиках”, где это возможно.
4. Привлекать DPO (юриста по ПДн) к сопровождению продаж услуг/продуктов, в некоторых случаях до аналогии с работой Пресейл Инженера. Работа DPO у крупных “Обработчиков” будет еще больше связана с управлением бизнес-рисками (не путать с рисками нарушения прав субъектов ПД).