Информируем Вас о том, что 10 октября 2018 года Российская Федерация подписала протокол, вносящий изменения в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 1981 года. («Протокол» и «Конвенция 108» соответственно).
Конвенция 108, принятая Советом Европы, является единственным юридически обязывающим многосторонним соглашением в сфере защиты персональных данных. Конвенция 108 закладывает основы правового регулирования и предписывает сторонам включить в свое национальное законодательство меры, необходимые для обеспечения защиты прав человека в области обработки персональных данных. Конвенция 108 послужила основой законодательства ЕС о защите данных. Ее положениями руководствовался также российский законодатель.
Конвенция 108 была открыта для подписания в 1981 году, задолго до технологического прорыва и глобализации в ИТ-индустрии. Цель Протокола – модернизировать Конвенцию 108, приняв во внимание новые вызовы.
Россия, являющаяся стороной Конвенции 108, будет обязана имплементировать изменения и обеспечить их надлежащее применение. Ниже представлен краткий обзор ключевых изменений, предусмотренных Протоколом, которые, вероятно, будут введены в российское законодательство в ближайшем будущем.
Протокол значительно повышает требования к обработке и защите данных, а также закрепляет содержащиеся в недавно вступившем в силу Регламенте принципы и требования. В связи с этим, включение положений, предусмотренных Протоколом, в национальное законодательство станет шагом вперед на пути к гармонизации российского законодательства о защите данных с европейским.
Новая редакция Конвенции 108 устанавливает более высокий уровень требований к защите персональных данных. В частности, предусмотрены следующие ключевые нововведения:
Уведомление об утечке данных. В соответствии с Протоколом оператор персональных данных должен незамедлительно уведомить соответствующий орган по защите данных о любых утечках данных, которые могут повлечь серьёзное нарушение прав и основополагающих свобод субъектов персональных данных. Российское законодательство в настоящий момент не обязывает операторов персональных данных уведомлять орган по защите данных об инцидентах, связанных с нарушением конфиденциальности данных.
Новые категории чувствительных данных. Протокол расширяет перечень особых категорий персональных данных. Данный перечень соответствует положениям Регламента. Например, особыми категориями теперь являются генетические данные, сведения о членстве в профсоюзах и этническом происхождении.
Новые статусы в процессах по обработке данных. Помимо оператора персональных данных, Конвенция 108 регулирует статус получателей персональных данных (лица, которым данные раскрываются или иным образом становятся доступными) и обработчика персональных данных (лицо, осуществляющее обработку персональных данных от имени оператора персональных данных).
Дальнейшее развитие принципов пропорциональности и минимизации данных. В соответствии с Протоколом обработка данных должна соответствовать заявленным целям обработки. Более того, обработка на всех этапах должна учитывать справедливый баланс между интересами (как частными, так и публичными) лиц, чьи права и интересы обработка может затронуть, и находящимися под угрозой нарушения правaми и свободами.
Новые права субъектов персональных данных. В частности, Протокол запрещает принятие решений исключительно на основании автоматизированной обработки без учета мнения субъекта персональных данных, а также предусматривает право получать информацию о процессах, лежащих в основе такой обработки, и право заявлять возражения.
Дополнительные гарантии защиты субъектов персональных данных. Операторы персональных данных обязаны анализировать возможные последствия обработки персональных данных, которую они намереваются осуществлять, на права и основополагающие свободы субъектов персональных данных до начала такой обработки и внедрить соответствующие технические и организационные меры.
Принцип privacy by design. Операторы персональных данных и обработчики персональных данных должны организовать обработку данных таким образом, чтобы предотвратить или минимизировать риск нарушения прав и основополагающих свобод субъектов персональных данных.
Обратите внимание, что данный перечень не отражает исчерпывающим образом все изменения, предусмотренные Протоколом.
В соответствии с установленной процедурой, Протокол вступает в силу в первый день месяца следующего за истечением трехмесячного срока после даты, когда все стороны Конвенции 108 выразили свое согласие выполнять требования, предусмотренные Протоколом. В настоящий момент только 21 государство, являющееся стороной Конвенции 108 (из 53), подписало Протокол и, следовательно, он еще не вступил в силу. Если все 53 стороны не подпишут Протокол в течение 5 лет с даты его открытия к подписанию (т.е. 25 июня 2018 года), он вступит в силу автоматически для подписавших сторон.
Должностные лица российского государственного органа по защите данных (Роскомнадзор) уже заявили, что в настоящее время ведется работа над законопроектом, вносящим поправки в законодательство в соответствии с измененной Конвенцией 108. Из этого следует, что Россия имплементирует стандарты, установленные Регламентом, в свое внутреннее законодательство.
В случае внедрения новых положений Конвенции 108 у России будет больше шансов быть признанной юрисдикцией, обеспечивающей адекватную защиту прав субъектов персональных данных в соответствии с законодательством ЕС. Данное обстоятельство снимет целый ряд ограничений, связанных с трансграничной передачей данных. Тем не менее, окончательное решение по данному вопросу принимает Европейская комиссия.
Надеемся, предоставленная информация окажется для Вас полезной. Если Вы или кто-то из Ваших коллег хотели бы получать наши информационные письма по почте, пожалуйста, заполните форму «Подписаться на рассылки» внизу страницы.
Практики: Защита данных и кибербезопасность
Примечание: Обращаем Ваше внимание на то, что вся информация была взята из открытых источников. Автор данного письма не несет ответственность за последствия, возникшие в результате принятия решений на основе данной информации.
Надеемся, предоставленная информация окажется для Вас полезной.