Комплаенс в сфере персональных данных: изменения, которые нужно учесть в работе компании

В последнее время в законодательство в сфере персональных данных были внесены значительные изменения, которые могут существенно повлиять на бизнес-процессы компаний. Какие наиболее важные нововведения нужно учесть?

В статье рассмотрим следующие вопросы:

• экстерриториальность;
• новые требования по уведомлению регулятора об обработке персональных данных;
• уточнены требования к локальным нормативным актам;
• дополнены требования к согласию на обработку персональных данных;
• обязанность информировать об утечке персональных данных.

1. ЭКСТЕРРИТОРИАЛЬНОСТЬ

Ранее при решении вопроса о применении российского законодательства о персональных данных в отношении иностранных компаний, не имеющих филиалов/представительств в России, использовался критерий направленности их деятельности на территорию РФ.

Учитывалось, в частности, наличие у иностранной компании сайта с информацией на русском языке, наличие локальной рекламы, возможность получения консультаций в отношении продукции, услуг иностранной компании (например, горячая линия), возможность оплаты в рублях и прочее.

С 1 сентября 2022 г. Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон) устанавливает экстерриториальное действие и распространяется на обработку персональных данных российских граждан, осуществляемую иностранными юридическими или физическими лицами на основании договоров и соглашений, стороной которых является гражданин РФ, или на основании его согласия на обработку его персональных данных.

В большинстве случаев передача персональных данных третьим лицам требует согласия их субъекта. Так, например, иностранные компании, получающие персональные данные работников своих российских дочерних обществ, обрабатывают их на основании согласия работников и обязаны соблюдать требования Закона, в том числе, по общему правилу, об их локализ... ✂