Кроме того, закон коснется и российских компаний - тех, которые имеют представительства в странах Евросоюза и оказывают услуги физическим лицам – гражданам ЕС. А именно: собирают и обрабатывают большие объемы персональных данных, активно используют интернет-маркетинг, ведут онлайновую регистрацию пользователей на веб-сайте или в мобильном приложении.
Закон имеет ряд ключевых требований для компаний, собирающих персданные:
• быть готовым предоставить информацию о том, как распоряжаются персональными данными физлиц, перенести или уничтожить их по запросу;
• повысить прозрачность использования данных. При этом пользователь получает право в любой момент отозвать согласие на обработку своих личных данных, а
компании должны будут четко указывать цели сбора данных и раскрывать информацию о третьих лицах, которым будут передавать их.
• данные должны легко перезаписываться и удаляться – ИТ-системы компаний должны быть настроены таким образом, чтобы могли безвозвратно удалять данные
о физлице, в то числе из архивов;
• в случае если компания поручает данные третьим лицам, то она же и несет за ответственность за своих подрядчиков и должна обеспечить законность обработки
информации.
В общем и целом требования не только ужесточают ответственность (за нарушение предусмотрены серьезные штрафы, ряд санкций, устанавливаемых для каждой страны Евросоюза и репутационный ущерб), но и обязывают совершенствовать свои ИТ-системы.
Что же у нас? В первом чтении принят новый законопроект, уточняющий порядок обработки персональных данных по поручению оператора, а также уточняющий требования по обеспечению безопасности обрабатываемых персданных (№ 416052-6). Соответственно изменения планируются в Федеральный закон «О персональных данных» и статью 28.3 КоАП.
Требования иные. У них оператор несет ответственность непосредственно перед субъектом персданных. У нас, в большей мере, перед уполномоченными органами. Но в чем-то и совпадают. Вот как в случае передачи данных третьим лицам.
Отдельным пунктом в пояснительной записке к законопроекту значится, что «ответственность перед субъектом персональных данных за действия другого лица, обрабатывающего данные по поручению оператора, несёт сам оператор, а также то, что согласно принципам обработки персональных данных их обработка должна ограничиваться только заранее определёнными целями». В этой связи проектом вводится понятие обработчика персональных данных — это лицо, осуществляющее обработку персональных данных по поручению оператора. И предлагается закрепить, что договор, заключенный между оператором и субъектом персональных данных, означает, в том числе, согласие субъекта персональных данных на поручение оператором обработки персональных данных обработчику в целях исполнения договора.
Другие положения законопроекта хоть и носят уточняющий характер, но во многом разнятся с упомянутым выше законом. Так предлагается:
• предусмотреть случаи, когда обеспечение конфиденциальности персональных данных не требуется, а также исключить необходимость уведомления об обработке
персональных данных, подлежащих обязательному раскрытию и опубликованию;
• установить возможность получения согласия лица на обработку его персональных данных дистанционно путем использования электронных средств связи;
• уточнить особенности трансграничной передачи персональных данных;
• освободить оператора от обязанности предоставлять субъекту персональных данных информацию, связанную с обработкой персональных данных, в случае
обработки персональных данных для осуществления деятельности зарегистрированного средства массовой информации;
• актуализировать меры, направленные на обеспечение выполнения оператором обязанностей, а также установить вариативность мер по обеспечению
безопасности персональных данных при их обработке.
Кроме того, должностные лица Роскомнадзора наделяются полномочиями по составлению протокола об административном правонарушении в случае нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
У нас, в большей мере, перед уполномоченными органами.
-------------------------------------------------------------------
Совершенно верно! Этим, собственно, всё и сказано...
Вот поэтому затраты времени на "ритуалы с оформлением" персданных
(не нужные ни "оператору" ни "субъекту", но блюдумые "контрольно-надзорными")
частенько превышают время на ПОЛЕЗНЫЕ для "Субъекта" действия.