Комплаенс в сфере персональных данных: изменения, которые нужно учесть в работе компании

1 май, 23 - 00:55
26 апр, 23 - 14:58
 2.8K

В последнее время в законодательство в сфере персональных данных были внесены значительные изменения, которые могут существенно повлиять на бизнес-процессы компаний. Какие наиболее важные нововведения нужно учесть?

В статье рассмотрим следующие вопросы:

  • экстерриториальность;
  • новые требования по уведомлению регулятора об обработке персональных данных;
  • уточнены требования к локальным нормативным актам;
  • дополнены требования к согласию на обработку персональных данных;
  • обязанность информировать об утечке персональных данных.

1. ЭКСТЕРРИТОРИАЛЬНОСТЬ

Ранее при решении вопроса о применении российского законодательства о персональных данных в отношении иностранных компаний, не имеющих филиалов/представительств в России, использовался критерий направленности их деятельности на территорию РФ.

Учитывалось, в частности, наличие у иностранной компании сайта с информацией на русском языке, наличие локальной рекламы, возможность получения консультаций в отношении продукции, услуг иностранной компании (например, горячая линия), возможность оплаты в рублях и прочее.

С 1 сентября 2022 г. Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон) устанавливает экстерриториальное действие и распространяется на обработку персональных данных российских граждан, осуществляемую иностранными юридическими или физическими лицами на основании договоров и соглашений, стороной которых является гражданин РФ, или на основании его согласия на обработку его персональных данных.

В большинстве случаев передача персональных данных третьим лицам требует согласия их субъекта. Так, например, иностранные компании, получающие персональные данные работников своих российских дочерних обществ, обрабатывают их на основании согласия работников и обязаны соблюдать требования Закона, в том числе, по общему правилу, об их локализ... ✂

Агаева Елена Советник, руководитель практики защиты персональных данных и санкт-петербургской практики M&A и корпоративного права АБ ЕПАМ. Она участвовала в разработке нормативных актов и разъяснений в области персональных данных, является соавтором «дорожной карты», включающей программу предотвращения нарушения прав субъектов персональных данных. Среди ее проектов – юридическая помощь ведущим отечественным и транснациональным компаниям в различных индустриях (медицинской, фармацевтической, пищевой, энергетической, автомобильной, IT и прочих). Является членом Центра компетенций при Роскомнадзоре по направлению «Персональные данные». Компетенция и профессионализм Елены отмечены авторитетными международными рейтингами.
Квартникова Елена Адвокат, юрист АБ ЕПАМ. Она оказывает юридическую помощь по различным вопросам, связанных с обработкой персональных данных, в частности, в отношении трансграничной передачи данных и структурирования обработки персональных данных международными группами компаний. Является участником рабочей группы по направлению «Персональные данные» Центра компетенций при Роскомнадзоре. Активно участвуя в законотворческом процессе, Елена разрабатывала окружную дорожную карту проектов мероприятий, направленных на повышение уровня положительного восприятия обществом деятельности Роскомнадзора и Центров компетенций в области персональных данных.