Принятые 14 июля 2022 г. поправки в ФЗ-152 «О персональных данных» оставляют двоякие впечатления. С одной стороны, поправки? внесенные Федеральным законом от 14 июля 2022 г. № 266-ФЗ содержит ряд уточнений, которые приводят уровень защиты персональных данных к большему соответствию с GDPR, известный своими высокими требованиями к защищенности как и персональных данных, так и прав их субъекта. Хотя часть, поправок в ФЗ-152 несет больше технический характер, то есть направлены на устранение возможных различий в трактовке положений закона правоприменителями.
Так, например, теперь в тексте ФЗ-152 в явной формулировке закреплен экстерриториальный принцип применения, хотя и без этого уточнения вопрос применения ФЗ-152 решался коллизионными привязками, в т.ч. личным законом субъектов персональных данных, что подтверждается правоприменительной практикой РКН и его трактовкой вводных положений ФЗ-152. Другими такими техническими поправками стали уточнения в части содержания положений политик конфиденциальности и согласий, так согласно ст. 18.1 ФЗ-152 политики и локально-нормативные акты должны точнее определять и описывать процессы обработки персональных данных. Вдобавок уточнено, что такие документы не должны умалять прав субъектов ПД, что логично, учитывая, что нередко согласие субъекта ПД выражается совершением конклюдентных действий описанными в политиках.
С другой стороны, часть поправок, несмотря на отдаленную, на концептуальном уровне, аналогию с правом ЕС, содержат неоднозначные требования в части регламентации трансграничной передачи и ответственности оператора ПД, о чем будет сказано позднее.
Усиление переговорной позиции «слабой стороны»
Начнем рассмотрение с уже вступивших в силу изменений в ФЗ-152. Так, был перенят уже устоявшийся подход по защите прав «слабой стороны» договора, что наиболее актуально для трудовых отношений и защиты прав потребителей. Теперь п. 5 ч. 1 ст. 6 ФЗ-152 прямо запрещает заключение договора, содержащего какие бы то ни было ограничения прав субъекта ПД, в том числе если ограничения предполагают бездействие субъекта ПД как условие заключения договора. Кроме того, по общему правилу обработка ПД несовершеннолетних в силу договора запрещена. Хотя такое изменение будет новшеством только для организаций, не имевших выход на рынок ЕЭЗ, где в контексте защиты слабой стороны недопустимо использовать в некоторых случаях согласие как правовое основание для обработки персональных данных и тем более, запрещено использовать договоры с потребителями-субъектами персональных данных, обязывающие их предоставлять не связанные с исполнением такого договора сведения о себе. Аналогичная защита прав субъекта персональных данных, в обновленной ст. 11 ФЗ-152, установившей прямой запрет на обязательную обработку биометрии и не допускающая отказ субъекту в обслуживании, если обработка биометрии не является обязательной в силу федерального закона. Хотя, данное положение по сравнению с GDPR можно оценить как более «запретительное», так как не позволяет обосновать обработку биометрии даже целями исполнения договора.
Обработка персональных данных по поручению
В новой редакции уточнены требования к поручению на обработку персональных данных. Теперь в поручении необходимо указывать персональные данные которые подвергаются обработке сторонней организацией, а также обработчик по поручению обязан соблюдать локализацию ПД (ч. 5 ст. 18 ФЗ-152) и требования ст. 18.1. ФЗ-152. Хотя, тут возникают вопросы, каким образом выполнение этих требований связано с обработчиком, если обе эти статьи (18 и 18.1) возлагают обязанности на оператора. Скорее всего, имеется ввиду что обработчик обязан способствовать и не препятствовать оператору ПД, а оператор в свою очередь обязан обеспечить такое выполнение в рамках частноправовых отношений. В отношении иностранных лиц -обработчиков ПД — применяется совместная с оператором ответственность, в отличие от общепринятого подхода в мире, согласно которому ответственность всегда несет оператор.
Уточнение согласия и прав субъекта персональных данных
Обновленная ст. 9 ФЗ-152 предъявляет дополнительные требования к согласию, помимо прочего оно должно быть предметным, сознательным и однозначным. Что касается первых двух требований, то их введение — это также уточнение сложившийся практики, так как согласия на обработку ПД рассматривались Минцифрой и РКН как сделки, для которых предметность и сознательность являются существенными условиями. Что касается однозначности, то наполнение этого термина ФЗ-152 в контексте уже сложившийся практики согласий еще предстоит выяснить. Вероятно, что речь идет о буквальном толковании текста согласия по аналогии со ст. 431 ГК РФ, по которой суды трактуют текст договоров буквально, что также укладывается в гражданско-правовую природу согласия.
При предоставлении сведений в порядке ст. 14 (Право доступа субъекта к ПД) помимо ранее перечисленных необходимо предоставлять информацию «о способах исполнения оператором обязанностей», предусмотренных ст.ст. 18.1 и 19 ФЗ-152, а также Постановлением Правительства №1119 и другими подзаконными актами, на которые ссылается ФЗ-152.
При предоставлении сведений в порядке ч. 3 ст. 18 ФЗ-152, описывающей ситуации, когда оператор получает ПД не от субъекта персональных данных. В таких ситуациях он обязан до начала обработки помимо прочего предоставить субъекту перечень полученных ПД, что также соответствует аналогичному требованию GDPR.
Обязанность оператора по уведомлению об инцидентах нарушения безопасности данных предусмотренная ст. 21 ФЗ-152 была вдохновлена аналогичным требованием права ЕС. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента самим оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с РКН, по выявленному инциденту;
- в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Кроме того, появилось дополнение в виде ч. 5.1. ст. 21 ФЗ-152, которое регламентирует реализацию субъекта ПД своего права на прекращение обработки ПД.
«Добро пожаловать» в реестр операторов персональных данных
Сокращение списка освобождений от обязанности подачи в РКН уведомления, предусмотренного ст. 22, до 3-х оснований. При этом к частному сектору применимо только одно основание предусмотренное п. 8 ч. 2 ст. 22 ФЗ-152: «деятельность по обработке персональных данных исключительно без использования средств автоматизации». Содержание по большей части самого уведомления не изменилось, за тем исключением, что теперь исходя из буквы закона не требуется включать в текст уведомления общее описание используемых оператором способов обработки персональных данных. Но теперь необходимо указывать ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах, а также уточнено что для каждой цели обработки ПД указываются их категории, категории субъектов, правовое основание обработки, перечень действий и способы обработки. Также теперь установлен 30-дневный срок исключения сведений из реестра операторов ПД, если в РКН поступило уведомление о прекращении обработки ПД.
Ст. 19 предполагается взаимодействие с ГИС ГосСОПКА, форма и порядок взаимодействия подлежат дальнейшему определению подзаконными актами (совместный акт ФСБ и РКН), так что пока это terra incognita защиты персональных данных.
В ст. 23 полномочия РКН дополнены, путем уточнения его самостоятельной надзорной роли, а также права нормотворчества в сфере правового регулирования деятельности по обработке персональных данных, а не только защиты прав субъектов ПД.
Новеллы трансграничной передачи персональных данных
С марта 2023 г. в силу вступают поправки в ФЗ-152 ужесточающие порядок трансграничной передачи персональных данных, помимо технических правок, лишь переформулирующих некоторые положения, касающиеся трансграничной передачи в государства-члены Конвенции Совета Европы №108 и государства, признанные РКН, как обеспечивающие адекватную защиту прав субъектов персональных данных (далее «государства с адекватной защитой»).
Ужесточение выразилось в расширении и уточнении ранее существовавшего положения о возможности запрещения и ограничения трансграничной передачи, а именно, были расширены цели такого запрещения/ограничения, установлен его порядок и определены органы. Так, например, ФСБ и Минобороны РФ, МИД РФ в любое время могут направить в РКН представление о запрещении или ограничении трансграничной передачи.
Решение о запрете/ограничении трансграничной передачи, принимается уполномоченным РКН в течение 5 рабочих дней с даты поступления соответствующего представления. При принятии решения об ограничении/запрещении, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим или юридическим лицом ранее переданных им персональных данных. При этом каким образом он это может сделать – остаётся тайной за семью печатями; критерии такой обязанности не раскрыты. Полагаем, практика, если и будет в скором времени доступна, будет весьма неоднозначной.
Теперь оператор вместо предусмотренной ч. 3 ст. 12 обязанности убедиться, что государство-назначения ПД обеспечивает адекватный уровень защиты, до начала осуществления деятельности по трансграничной передаче ПД обязан отдельно (то есть отдельным уведомлением, а не в рамках ст. 22) уведомить РКН о своем намерении осуществлять трансграничную передачу персональных данных. Часть сведений, подаваемых в этом уведомлении дублирует уведомление о начале обработке ПД, за исключением следующих:
- правовое основание и цель трансграничной передачи ПД и дальнейшей обработки переданных ПД;
- категории и перечень передаваемых ПД;
- категории субъектов ПД, персональные данные которых передаются;
- дата проведения оператором оценки соблюдения получателями ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
При этом оператор до подачи уведомления, по сути обязан провести своего рода Transfer Impact Assessment (или Transfer Risk Assessment): обязательство по GDPR появившееся в результате толкования Судом справедливости ЕС Регламента в ходе рассмотрения «второго дела Шремса».[1] Однако, по букве закона ФЗ-152, в отличие от GDPR, оператор обязан получить TIA от лица, которому планируется трансграничная передача персональных данных. Вдобавок закон требует предоставления контактных данных таких лиц (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Другое отличие состоит в том, что в ЕЭЗ TIA требуется для прохождения проверок надзорных органов, а не для получения разрешения на трансграничную передачу, да и обязанность проведения TIA лежит на контроллере в ЕЭЗ экспортирующего данные.
Единственное преимущество, которое предполагает обновленный порядок трансграничной передачи в государства с адекватной защитой заключается в том, что передача в такие государства возможна сразу после подачи уведомления РКН о такой передаче. В остальных случаях необходимо ждать результатов рассмотрения уведомления, то есть 10 рабочих дней, за исключением, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. Однако, обращаем внимание, что РКН даже в случае передачи в государства с адекватной защитой имеет право в течение срока рассмотрения такого уведомления запретить такую передачу. Таким образом преимущество рискует стать «сизифовым трудом», так как при принятии РКН отрицательного решения придется обеспечить удаление у получателя данных за рубежом всех ПД, которые оператор успел передать за 10 дней.
Дополнительно упомянем следующие мартовские изменения:
- новая регламентация оценки вреда предусмотренной ст. 18.1, которая теперь будет проводиться в соответствии с требованиями РКН;
- обязанность оператора ПД сообщать РКН об изменениях в уведомление ст. 22 не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;
- РКН будет вести реестр учета инцидентов в области ПД и определять порядок и условия взаимодействия с операторами в рамках ведения указанного реестра. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном совместно ФСБ РФ и РКН, будет передаваться в ФСБ РФ.
Наконец, в обновленном ФЗ-152 устанавливается обновленный срок для ответов оператора на запросы субъектов ПД и РКН – 10 рабочих дней с правом мотивированного продления на 5 рабочих дней. Срок вступил в силу вместе с основной нормой в сентябре 2022 или только вступит в марте 2023 г. соответственно.
Что в сухом остатке?
В итоге можно сказать, что наиболее существенные изменения касаются нового порядка трансграничной передачи, добавляющего дополнительную бюрократическую нагрузку (как РКН, так и операторам), а также обязанности для подавляющего большинства операторов ПД подавать начиная с сентября 2022 г. уведомления в порядке ст. 22 ФЗ-152, что сделает их регулярной целью плановых контрольных (надзорных) мероприятий. Своего рода неизвестным остается обязанность взаимодействия с ГИС ГосСОПКА, так как порядок взаимодействия государственным органам еще предстоит определить. Остальные изменения по сути закрепили в ФЗ-152 опыт права ЕС и уже сложившиеся лучшие практики в сфере обработки персональных данных. Что же касается биометрии, то общий запрет на её сбор в ФЗ-152 по сути стал финальной точкой в окончательном огосударствлении оборота биометрических персональных данных в РФ, вместе с недавно принятой ст. 14.1 ФЗ-149 «Об информации, защите информации и информационных технологиях».