С 1.07.2025 г. вводятся в действие поправки к ст. 18 Федерального закона 152-ФЗ, регламентирующие сферу обработки персональных данных. Теперь на операторов возложена обязанность уведомления Роскомнадзора обо всех действиях с личными параметрами субъектов. По новым правилам локализация персональных данных (ПД) внутри страны становится актуальным требованием для защиты от утечки данных.
Какие изменения в требованиях Роскомнадзора о персональных данных
Ожидается, что обновленные положения Закона о персональных данных приведут к более пристальному надзору регулятора за деятельностью операторов и структур, предоставляющих услуги по обработке ПД россиян.
Ужесточение контроля Роскомнадзора за персональными данными будет сопровождаться значительными штрафными санкциями для нарушителей, вплоть до приостановки или прекращения деятельности в публичной сфере.
Уведомление Роскомнадзора должно отражать каждое действие компании в области ПД. Начиная от момента, когда бизнес-структура приступает к обработке данных, потребуется оповещать надзорный орган о последующих действиях. Если будет зафиксировано, что нарушены правила обращения ПД, то ответственность за утечку персональных данных возрастет от нескольких миллионов рублей до оборотных штрафов для злостных нарушителей.
Чтобы избежать рисков взыскания от Роскомнадзора, компаниям уже сейчас рекомендуется провести серьезный аудит и убедиться, что хранение и сбор ПД осуществляется на территории РФ.
Новое требование: обязательно нахождение хостинга в России, прозрачные условия договоров с третьими лицами по обработке личных данных и актуальность соглашений, регулирующих действия в сфере ПД.
Если в настоящий момент обработка данных связана с заграничными структурами, то необходимо срочно перестроить процесс и внести его на территорию РФ.
Наказание за хранение баз данных за рубежом и трансграничную передачу ПД:
- для частных лиц: 100–400 тысяч рублей;
- для должностных лиц: 200–600 тысяч рублей;
- для ИП и ЮЛ: 3–15 млн рублей.
Напомним, что трансграничная передача допустима, но только после получения официального разрешения (допуска) Роскомнадзора. В качестве типичного примера: туроператор из РФ по своей деятельности обязан передавать личные данные клиентов зарубежному оператору. Сделать это можно, но только после уведомления Роскомнадзора (РКН) и получения разрешения.
Хотя в федеральном законе ФЗ-152 не появилось упоминание, что cookie являются персональными данными, РКН нередко трактует их запрос как сбор сведений о посетителях.
Исключить претензии за использование cookie можно следующим образом:
- запрашивать разрешение от пользователя в формате баннера;
- предоставлять возможность выбора категории данных;
- предоставлять возможность отказа от предоставления ПД, кроме технически необходимых;
- если речь идет о предоставлении личных идентификаторов, то их обработка допускается только в РФ.
Кроме того, рекомендуется приступать к использованию cookie только тогда, когда уже подано уведомление о включении компании в реестр операторов РКН. Учетная запись формируется в течение 30 дней, после чего актуальные сведения об операторе появляются в публичном пространстве.
Обязанности операторов персональных данных
Если бизнес-структура использует любые метрики для идентификации и анализа посещения сайта, то она автоматически становится оператором ПД и обязана предоставить в Роскомнадзор уведомление об обработке персональных данных.
При этом закон о локализации персональных данных позволяет оператору самостоятельно выбрать: подать уведомление одновременно с тем, что касается начала обработки, или позднее, когда возникнет потребность передачи в другие страны.
Обязанности операторов ПД регламентированы в ст. 18 Федерального закона ФЗ-152:
- уведомление Роскомнадзора о начале обработки ПД, целях и форматах использования собранных сведений, форс-мажорных обстоятельствах, связанных с утечкой или трансграничной передачей;
- выполнение требований закона по сохранности собранных и используемых в работе ПД, выполнение требований по безопасности, назначение ответственных лиц в данной сфере;
- соблюдение прав и интересов субъектов, включая создание формы предоставления согласия на обработку, передачу и другие действия с ПД;
- предоставление по запросу субъекту подтверждения о факте использования его данных, в том числе о проведении трансграничной операции;
- организация надежного и безопасного хранения используемых ПД.
Взаимодействие с надзорным органом станет максимально востребованным. Так, в течение 10 рабочих дней компания-оператор обязана отвечать на запросы от РКН. Если произошла утечка (по любым обстоятельствам), то оповестить об инциденте потребуется за сутки, в срок до трех дней необходимо отчитаться перед органом о принятых мерах.
Таким образом, информационная безопасность баз данных граждан РФ достигнет значительно высокого уровня.
Как уведомить РКН о передаче персональных данных
Федеральный закон ФЗ-152 устанавливает последовательность процедур, чтобы уведомить Роспотребнадзор о передаче данных и их использовании оператором.
Приказом №180 надзорный орган утвердил стандартную форму, которую заполняет ответственное лицо и направляет в положенные сроки удобным для себя способом.
Порядок шагов по уведомлению:
- зайти на сайт РКН, выбрать территориальный орган;
- указать тип оператора, ввести полное и сокращенное наименование компании, юридический адрес;
- заполнить в отведенных полях сведения из ЕГРИП/ЕГРЮЛ;
- в поле “правовое основание” внести номера разрешительных документов, на основании чего осуществляется работа с ПД;
- отразить целевые направления, для которых необходимо использовать данные;
- описать внедренные в практику меры безопасности по сохранению конфиденциальности сведений;
- заполнить специальные поля, связанные с деятельностью компании в данной сфере. Пропуски, помарки и зачеркивания не допускаются.
В завершение потребуется указать личные данные и должность заявителя, отправить сформированное уведомление в электронной форме. При желании его можно распечатать на бумажном носителе.
Если в РКН отправляется электронная форма через сайт ведомства, то она должна быть заверена УКЭП заявителя. Бумажный вариант подписывается вручную, ставится печать и отправляется заказным письмом с уведомлением.
Требования к сайтам
РКН получает право выборочно осуществлять проверку сайтов на предмет соответствия новым требованиям.
В первую очередь смотрят на:
- соответствие требованию о локализации персональных данных, наличие хостинга в РФ;
- соблюдение политики конфиденциальности, особенно в случае данных физических лиц;
- выполнение расширенных требований по использованию cookie на сайте;
- принятые меры по устранению трансграничных рисков.
Владельцам сайтов рекомендуется разместить сведения о политике обработки ПД на каждой странице, лучше под каждой формой сбора и в футере, нижней части ресурса с дополнительными сведениями о компании.
