Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №28)

Власти ужесточат требования для бизнеса по хранению персональных данных («ПДн»)

Госдума приняла в третьем чтении законопроект с поправками в ряд законодательных актов, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Предлагается переформулировать ч. 5 ст. 18 этого закона, установив, что с 01 июля 2025 г. при сборе ПДн, в том числе посредством сети Интернет, не допускаются запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Исключение могут составлять случаи, которые обычно к бизнесу не применимы, например, когда обработка связана с исполнением международного договора РФ, обязанностей или полномочий оператора, участием в судопроизводстве, нужна для научной деятельности или работы журналиста (если при этом не нарушаются права субъектов ПДн), для функционирования госорганов.

В настоящее время той же нормой предусмотрено, что при сборе ПДн, в том числе посредством сети интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ (с теми же исключениями). При этом допускается последующее дублирование и хранение данных за рубежом.

Иными словами, обязанность использовать базы данных в РФ (которая сама по себе не исключала дальнейшую передачу ПДн за границу в рамках той же обработки) заменяют на запрет использовать базы, находящиеся за рубежом.

Напомним, что требование локализации баз данных действует еще с сентября 2015 г. За его нарушение предусмотрены административные штрафы до 6 млн рублей (до 18 млн рублей при повторном нарушении).

В Госдуме сообщили, что смысл поправки в том, что базы с содержанием ПДн российских граждан должны находиться на территории исключительно РФ и не иметь копий вне ее территории.

В настоящий момент отсутствуют официальные разъяснения о том, уточняет ли поправка уже действующее требование о локализации или вводит новые ограничения или даже абсолютный запрет на использование зарубежных баз данных.

При этом положения закона в части трансграничной передачи законопроект не изменяет, что говорит о том, что возможность трансграничной передачи ПДн будет сохранена.

В настоящий момент мы разрабатываем свою позицию по толкованию поправок и обязательно поделимся с Вами нашим мнением.

Что точно нужно будет сделать?

Компаниям, так или иначе соприкасающимся с иностранными юрисдикциям в своей деятельности, будет необходимо оценить и, возможно, пересмотреть используемые ими схемы локализации на предмет соответствия новым требованиям.

Для тех процессов, где есть риск нарушения, до 01 июля 2025 г. будет необходимо переструктурировать процесс предоставления ПДн в иностранные базы данных. В большинстве случаев это будет предполагать изменения в юридической плоскости, такие как пересмотр соглашений об обработке и внедрение новых договорных механизмов контроля оператора за обработкой ПДн, изменение статуса получателя за границей с обработчика на оператора, изменение согласий на обработку ПДн, целей трансграничной передачи и обновление уведомлений о трансграничной передаче.  

Мы также рекомендуем отслеживать возможные разъяснения контролирующих органов, в частности Минцифры и Роскомнадзора. В случае появления таких разъяснений, обязательно Вас проинформируем.

Минцифры опубликовало проект с изменениями в правила аккредитации для ИТ-компаний

По проекту ведомства, аккредитацию в качестве ИТ-компании смогут получать также организации, которые работают в области защиты информации или компании с преимущественным госучастием, если они получают более 70% дохода от деятельности в области информационной безопасности.

При этом предлагаются и дополнительные ограничения для государственной аккредитации. Так, компании не должны иметь более 50% иностранного участия в своем составе. Кроме того, для крупных аккредитованных компаний появится обязательство заключить соглашение с учебной организацией для совместной подготовки ИТ-специалистов.

На сайте аккредитованной или претендующей на аккредитацию компании теперь должны быть указаны наименование организации, юридический и фактический адрес, ИНН, ОКВЭД, контактные данные, информация о видах ИТ‑деятельности согласно приказу Минцифры.

Соответствие требованиям будет подтверждаться во время ежегодной плановой проверки, которая начнется в мае 2025 г. Требование по доле иностранного участия вступает в силу 01 сентября 2025 г.

Напомним, что по общему правилу организации вправе получить государственную аккредитацию, если:

1) Основным видом экономической деятельности является один из видов, содержащихся в перечне видов экономической деятельности, предусмотренных Приложением № 1 к Положению о государственной аккредитации;

2) Средняя заработная плата работников не менее средней по стране или субъекту, в котором зарегистрирована организация;

3) Доход от ИТ-деятельности более 30%;

4) На официальном сайте организации размещена информация об осуществляемой ИТ-деятельности на русском языке.

Российский бизнес заинтересован в инвестициях в средства защиты ПДн

Объем инвестиций в средства защиты ПДн в 2024 г. в России вырос на 20% и достиг 23 млрд рублей. Особенно значительным оказался прирост в области средств реагирования на утечки и продуктов для контроля доступа.

Такой рост спроса обоснован на фоне ужесточения санкций за нарушения в области обработки ПДн, особенно после введения штрафов до 500 млн рублей за повторные утечки ПДн. Хотя изменения в части ответственности вступят в силу лишь 30 мая 2025 г., мы рекомендуем подготовиться к ним уже сейчас, проанализировав основные процессы обработки ПДн в Вашей компании на предмет комплаенса с текущим регулированием.

Отмечаем, что ранее компании чаще фокусировались на формальном выполнении требований Роскомнадзора, таких как оформление письменных согласий и политик по различным вопросам обработки ПДн. Теперь же бизнес больше внимания уделяет реальной защите ПДн, внедряя как организационные, так и технологические меры предотвращения утечек.