1. Изменение порядка трансграничной передачи персональных данных
С 1 сентября 2022 года изменен порядок осуществления трансграничной передачи персональных данных.
Компании, которые осуществляли трансграничную передачу персональных данных (далее – «ПДн») до 1 сентября 2022 года и продолжают осуществлять ее после этой даты, обязали до 1 марта 2023 года уведомить об этом Роскомнадзор (далее – «РКН»). Уведомление должно содержать определенный перечень сведений, включая сведения об операторе, лице, ответственном за обработку ПДн, правовые основания и цели передачи ПДн, список стран, на территории которых планируется трансграничная передача ПДн, дату проведения оператором оценки соблюдения получателями ПДн конфиденциальности и требований безопасности при их обработке.
Кроме того, необходимо указать сведения о выполнении обязанности по уведомлению РКН о намерении осуществлять обработку ПДн, которое подается отдельно. С 1 марта 2023 года все компании должны уведомлять РКН о намерении осуществлять трансграничную передачу ПДн (далее – «Уведомление о намерении»). В зависимости от того, в какую страну передаются ПДн, процедура будет носить «уведомительный» либо «разрешительный» характер. Новый порядок трансграничной передачи схематично отражен ниже.
По результатам рассмотрения Уведомления о намерении РКН вправе принять решение о запрете или ограничении трансграничной передачи ПДн, в том числе в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Поскольку практика подачи и рассмотрения Уведомлений о намерении еще не сложилась, открытым остается вопрос о том, должны ли будут компании подавать Уведомление о намерении в отношении каждого нового получателя ПДн или нет. Если это потребуется, компаниям в каждом случае нужно будет проводить детальную оценку соблюдения всех требований к трансграничной передаче ПДн.
2. Установление специальных требований к защите ПДн от последствий утечки
С 1 сентября 2022 года для операторов ПДн установлена обязанность по уведомлению РКН об утечке ПДн и принятию мер по ликвидации ее последствий.
Закон обязал операторов ПДн уведомлять РКН о компьютерных инцидентах, которые повлекли нарушение прав субъектов ПДн (далее – «утечка ПДн»), а также предпринимать действия по ликвидации негативных последствий таких инцидентов. Эта обязанность распространяется на все случаи передачи ПДн (предоставление, распространение и доступ), независимо от того, произошла ли она в результате неправомерных действий или случайно. Учитывая широкие границы понятия «права субъектов персональных данных», под действие рассматриваемых правил подпадет большое число подобных инцидентов. Обязанность оператора ПДн возникает с момента выявления утечки ПДн и предполагает направление двух уведомлений в РКН: первичное – в течение 24 часов с информацией об инциденте и последующее – в течение 72 часов с результатами внутреннего расследования инцидента. Сведения, которые должны быть включены в уведомления, указаны ниже.
На данный момент субъектами права законодательной инициативы ведется активная работа над законопроектами, устанавливающими оборотные штрафы для компаний, допустивших
утечку ПДн, а также прорабатываются предложения о введении уголовной ответственности
для должностных лиц таких компаний.
Кроме того, операторы ПДн обязаны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – «ГосСОПКА»). Если ранее обязанность по взаимодействию с ГосСОПКА возлагалась только на субъектов критической инфраструктуры, то теперь она возложена на всех операторов ПДн. В отличие от обязанности по уведомлению РКН об утечках ПДн, в рамках взаимодействия с ГосСОПКА компании обязаны уведомлять ФСБ только о компьютерных инцидентах, которые произошли в результате неправомерных действий. Порядок взаимодействия с ГосСОПКА утвержден ФСБ и вступил в законную силу с 1 марта 2023 (на момент публикации порядок все еще не установлен).
3. Блокировка информации
В прошлом году было принято несколько правовых актов, регулирующих вопросы ограничения доступа к информации и блокировки ресурсов, а также были увеличены штрафы за определенные составы правонарушений. Одна из крупнейших социальных сетей была заблокирована по основаниям осуществления экстремистской деятельности.
Введение нового порядка для постоянной блокировки информационных ресурсов
14 июля 2022 года вступили в силу изменения, согласно которым в случае обнаружения неоднократного распространения противозаконной информации на информационном ресурсе последний может быть заблокирован на постоянной основе по запросу Генерального прокурора РФ или его заместителей в РКН (ст. 1 ФЗ от 14.07.2022 № 259-ФЗ).
РКН, в свою очередь, направляет требование операторам связи, предоставляющим доступ в Интернет, о постоянной блокировке информационного ресурса. После получения требования оператор обязан незамедлительно ограничить доступ к такому ресурсу. Копии информационного ресурса («зеркала») также подлежат немедленной блокировке.
Увеличение штрафа за неисполнение требования об ограничении или возобновлении доступа к информационному ресурсу
14 июля 2022 года вступили в силу изменения, согласно которым оператор связи, предоставляющий доступ в Интернет, может быть оштрафован на сумму до 4 млн рублей, если не выполнит обязанность по ограничению или возобновлению доступа к информационному ресурсу повторно в течение года (ст. 1 ФЗ от 14.07.2022 № 259-ФЗ).
Блокировка социальных сетей по основаниям осуществления экстремистской деятельности
21 марта 2022 года Тверской районный суд города Москвы принял решение, которым «запретил деятельность компании Meta Platforms Inc. по реализации продуктов – социальных сетей Facebook и Instagram на территории РФ по основаниям осуществления экстремистской деятельности». В мотивировочной части решения отдельно указано, что «меры судебной защиты не ограничивают действий по использованию программных продуктов компании Meta физических и юридических лиц, не принимающих участия в запрещенной законом деятельности». 20 июня 2022 года решение вступило в законную силу.
10 октября 2022 года Минюст внес в
специальный перечень информацию о том, что «общественным объединением» или «религиозной организацией, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным ФЗ от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности», теперь является и «Американская транснациональная холдинговая компания Meta Platforms Inc. по реализации продуктов ‒ социальных сетей Facebook и Instagram».
Ниже представлена оценка рисков использования указанных ресурсов, включая публикацию ссылок и обозначений:
Использование мессенджера WhatsApp, как и ведение страниц в Facebook и в Instagram, само по себе не должно считаться правонарушением – в силу прямого указания на это в решении суда. До настоящего времени известных случаев привлечения к ответственности за это не было.
Размещение на сайтах ссылок на корпоративные страницы (вида https://facebook.com/* и https://www.instagram.com/*, без отдельной «символики» в виде товарных знаков) с малой вероятностью может квалифицироваться по статье 20.3 Кодекса об административных правонарушениях РФ (далее – «КоАП РФ») (публичное демонстрирование атрибутики или символики экстремистских организаций) или по статье 282.4 Уголовного кодекса РФ (далее – «УК РФ») (неоднократное публичное демонстрирование атрибутики или символики экстремистских организаций).
Размещение слов “Facebook”, “Instagram”, а также “Meta Platforms Inc.” (в контексте управления этой компанией “Facebook” и “Instagram”) где бы то ни было без дополнительной оговорки со средним риском может квалифицироваться по статье 20.3 КоАП РФ, повторное размещение – по статье 282.4 УК РФ. До настоящего времени известных случаев привлечения к ответственности за это не было.
Для снижения рисков привлечения к ответственности при размещении слов “Facebook”, “Instagram”, а также “Meta Platforms Inc.” (в контексте управления “Facebook” и “Instagram”) рекомендуется использовать дополнительную оговорку о том, что «деятельность Meta Platforms Inc. по реализации продуктов – социальных сетей Facebook и Instagram на территории РФ – запрещена судом».
Любое продвижение страниц в Facebook и Instagram через платные инструменты Meta Platforms Inc. с риском выше среднего может квалифицироваться по статье 282.3 УК РФ («Финансирование экстремистской деятельности»).
4. Ограничения на обработку биометрии
С 29 декабря 2022 года обработка биометрических ПДн постепенно исключается из коммерческого оборота введением ряда законодательных ограничений (ФЗ от 29.12.2022 № 572-ФЗ), вступающих в силу до 1 января 2027 года.
С целью повышения безопасности обработки биометрических ПДн принят закон, который кардинальным образом изменяет существующие подходы к такой процедуре в РФ. Фактически, новые правила исключают «коммерческое» использование биометрических данных физических лиц и вводят требование об их размещении только в Единой биометрической системе (далее – «ЕБС»). За использование ЕБС будет взиматься плата (размер и порядок взимания такой платы должен быть определен в договоре с оператором ЕБС, а методика ее расчета будет определена Минцифры России по согласованию с Центральным банком РФ). При этом аутентификацию физических лиц на основе биометрии смогут осуществлять только аккредитованные организации.
Если организация ранее собрала биометрические ПДн, на которые распространяются требования принятого закона (т. е. изображение лица и запись голоса), то она должна передать их в ЕБС, предварительно уведомив об этом субъекта ПДн (при этом последний может возражать против передачи своих данных в ЕБС). Закон также установил запрет на трансграничную передачу биометрических ПДн при осуществлении идентификации и аутентификации физических лиц, определил порядок аккредитации компаний, которые будут осуществлять аутентификацию на основе биометрии, и требования к применению шифровальных (криптографических) средств при обработке биометрических ПДн.
В развитие изменений в законодательстве о ПДн также было установлено, что физическому лицу не может быть отказано в предоставлении услуги, продаже товаров и выполнении работ, если такое лицо отказалось от прохождения идентификации и (или) аутентификации с использованием биометрических ПДн.
Учитывая масштаб нововведений, организациям, которые уже обрабатывают биометрические ПДн (например, для обеспечения прохода на предприятие) или планируют начать их обработку, необходимо удостовериться в том, что их системы и подходы к обработке биометрических ПДн соответствуют требованиям закона, а также проверить, соответствуют ли сами организации требованиям для получения аккредитации.
5. Расширение требований и усиление государственного контроля за локализацией
Локализация персональных данных
2022 год стал рекордным по количеству принятых решений о привлечении иностранных компаний к административной ответственности за невыполнение требования о локализации ПДн.
За нарушение требования о локализации ПДн были назначены штрафы более чем 14 организациям, среди которых крупные иностранные логистические компании, платформы для поиска жилья и организации путешествий, социальные сети, мессенджеры, приложения для знакомств, стриминговые сервисы. Согласно КоАП РФ, минимальный штраф за невыполнение компанией данного требования составляет 1 млн рублей, максимальный – 18 млн рублей (при повторном нарушении уже имеется практика назначения штрафа в максимальном размере). Ниже приведена статистика назначения соответствующих штрафов на практике в 2022 году.
В контексте правоприменения стоит обратить внимание на следующие обстоятельства, которые были положены в основу соответствующих судебных решений:
Компания может быть привлечена к административной ответственности за нарушение локализации ПДн, если проигнорирует запрос РКН о предоставлении информации, подтверждающей выполнение данного требования. Ранее компании сначала привлекали к административной ответственности за непредоставление информации, подтверждающей выполнение требования о локализации, по ст. 19.7 КоАП РФ с максимальным штрафом в размере 5 тыс. рублей.
РКН может использовать данные из сервиса whois для подтверждения местонахождения баз данных ответчиков.
Положения политики обработки ПД, устанавливающие возможность передачи ответчиком cookie файлов третьим лицам, которые уже привлекались за нарушение локализации ПД, могут использоваться в качестве доказательства факта нарушения.
Наличие ограничений для прохождения регистрации российскими пользователями на сайте может быть использовано в качестве доказательства отсутствия обработки данных российских граждан.
Нахождение баз данных на территории «недружественных» России стран может являться основанием для отказа от замены административного штрафа на предупреждение.
Суды предъявляют высокие требования к перечню и содержанию документов, которые подтверждают факт локализации персональных данных на территории РФ. В связи с участившимися штрафами компаниям рекомендуется проанализировать свои бизнес-процессы, связанные с обработкой ПДн, на предмет их соответствия установленным требованиям.
Ограничения для иностранных мессенджеров
С 1 марта 2023 года банкам и некредитным финансовым организациям, компаниям с государственным участием и иным поименованным в законе субъектам запрещается использование иностранных мессенджеров при реализации товаров, работ, услуг, имущественных прав для:
передачи платежных документов и (или)
предоставления информации, содержащей ПДн граждан РФ;
предоставления информации, содержащей данные о переводах денежных средств в рамках применяемых форм безналичных расчетов;
предоставления информации, содержащей сведения, необходимые для осуществления платежей;
предоставления информации, содержащей сведения о счетах (вкладах) граждан РФ в банках (ст. 1 ФЗ от 29.12.2022 № 584-ФЗ).
Кроме того, к иностранным мессенджерам запрещено подключать информационные системы, обеспечивающие перевод безналичных денежных средств граждан РФ. Список иностранных мессенджеров определяет РКН.
Контроль за классифайдами
С 1 марта 2023 года владельцем сервиса размещения объявлений может являться только гражданин РФ или российское юридическое лицо (ст. 1 ФЗ от 29.12.2022 № 584-ФЗ).
По общему правилу под российским юридическим лицом понимается лицо, находящееся под контролем РФ, субъектов РФ, муниципального образования или гражданина РФ, не имеющего гражданства другого государства. Под контролем понимается возможность определять решения, принимаемые российским юридическим лицом в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами от общего количества голосов, приходящихся на голосующие акции (доли). Соответственно, для контроля не является обязательным наличие более 50 процентов от общего числа акций (долей), как это предлагалось ранее. Помимо этого, законом предусматривается обширный перечень обязанностей владельца сервиса размещения объявлений, связанный с контролем за распространением на ресурсе информации, нарушающей закон. Отныне владельцы таких сервисов обязаны обеспечить соблюдение прав пользователей, установку счетчика аудитории, интеграцию сервиса с единой системой идентификации и аутентификации и порталом «Госуслуги».
Защита критической инфраструктуры
С 1 мая 2022 года на субъектов критической инфраструктуры возложены новые обязанности (Указ Президента РФ от 01.05.2022 № 250).
Среди них стоит выделить обязанность по созданию отдельного структурного подразделения, которое должно обеспечивать информационную безопасность компании, обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты. Кроме того, с 1 января 2025 года субъектам критической инфраструктуры запрещено использовать средства защиты информации, происходящие из «недружественных» России стран. Для выполнения данной обязанности компаниям потребуется до указанной даты провести аудит имеющихся средств защиты информации, определить их происхождение и до 1 января 2025 года разработать план перехода на средства защиты, соответствующие новым требованиям.
Еще одним важным нововведением является установление административной ответственности за предоставление недостоверных сведений о категориях значимости объектов критической информационной инфраструктуры (ФЗ от 19.122022 № 518-ФЗ).
6. Расширение круга потенциальных субъектов ответственности за несоблюдение требований закона о «приземлении» иностранных ИТ-компаний
С 14 июля 2022 года установлены штрафы за нарушение закона о «приземлении иностранных ИТ-компаний» (ФЗ от 01.07.2021 № 236-ФЗтелекоммуникационной сети “Интернет” на территории Российской Федерации»), в том числе для лиц, взаимодействующих с компаниями, не соблюдающими требования данного закона (ФЗ от 14.07.2022 № 259-ФЗ).
Данный закон, принятый в июле 2021 года, установил перечень условий, которые должны соблюдать крупные иностранные ИТ-компании, осуществляющие деятельность в РФ через Интернет, а также меры понуждения к их исполнению, в том числе через третьих лиц.
РКН ведет реестр иностранных компаний, которые подпадают под требования
данного закона. В нем указываются допущенные компанией нарушения, а также перечень применяемых к ней конкретных мер понуждения. Соответственно, иностранным ИТ-компаниям и третьим лицам, подпадающим под требования данного закона, особенно рекламодателям и рекламораспространителям, рекомендуется сверяться с данными указанного реестра.
За невыполнение требований для иностранных ИТ-компаний, внесенных в указанный реестр, установлены штрафы в размере до 1/5 совокупной выручки за предшествующий год. Кроме того, им может быть запрещено осуществлять сбор ПДн российских граждан под угрозой штрафа до 6 млн рублей (до 18 млн рублей при повторном нарушении).
Также установлена ответственность для:
рекламораспространителей – за распространение рекламы включенной в реестр иностранной ИТ-компании, в отношении которой это запрещено, штраф до 3 млн рублей (до 6 млн рублей при повторном нарушении);
рекламодателей – за распространение рекламы на информационном ресурсе включенной в реестр иностранной ИТ-компании, в отношении которой это запрещено, штраф до 3 млн рублей (до 6 млн рублей при повторном нарушении);
операторов поисковой системы – за неинформирование пользователей о том, что включенная в реестр иностранная ИТ-компания не соблюдает законодательство РФ, или за неисполнение обязанности по прекращению поисковой выдачи об информационном ресурсе штраф до 5 млн рублей (до 10 млн рублей при повторном нарушении);
лиц, обеспечивающих размещение информационного ресурса иностранной ИТ-компании, за несвоевременное предоставление информации по запросу РКН, которая необходима для ведения реестра, штраф до 500 тыс. рублей.
7. Новые требования к рекламе в Интернете
С 1 сентября 2022 года рекламодатели, рекламораспространители, операторы рекламных систем, разместившие рекламу в Интернете, обязаны предоставлять определенную информацию в РКН ФЗ (??) от 02.07.2021 № 347-ФЗ (ред. от 14.07.2022).
Для целей учета информации о рекламе создан единый реестр интернет-рекламы (
ЕРИР). В ЕРИР вносится информация об объекте рекламирования, типе рекламной кампании в Интернете, средствах и формах распространения рекламы, ее стоимости, а также других параметрах. Введение новых правил вызвало ряд вопросов, ответы на которые частично можно найти в подзаконных актах.
В частности, в Постановлении Правительства РФ от № 948 уточнен круг субъектов, которые обязаны предоставлять информацию о рекламе в РКН. Обязанность распространяется на:
рекламодателей,
рекламораспространителей,
операторов рекламных систем,
владельцев соцсетей,
аудиовизуальные сервисы,
новостные агрегаторы,
организаторов распространения информации в Интернете, включая организаторов сервисов обмена мгновенными сообщениями и операторов поисковых систем (Постановление Правительства РФ от 25.05.2022 № 948, ред. от 20.12.2022).
В Распоряжении Правительства РФ № 1362-р предусмотрено освобождение от обязанности передавать информацию о рекламе, если речь идет о рекламе собственных товаров, распространяемой через электронную почту или в виде электронных сообщений группам пользователей. Этот же документ конкретизирует состав информации о рекламодателе, которая должна предоставляться в РКН.
В иных подзаконных актах определены требования к программам для ЭВМ, используемым для учета рекламы, а также порядок создания и деятельности комиссии по отбору оператора рекламных данных. Реестр операторов рекламных данных доступен
на сайте РКН.
До сих пор обязанность по маркировке рекламы вызывает множество вопросов. В частности, неясно, все ли форматы рекламных сообщений подразумевают обязательное включение пометки «реклама». Публикуются лишь точечные разъяснения по этому вопросу. Так, например, в соответствии с позицией ФАС России маркировка рекламы требуется, если рекламные сообщения распространяются
в Telegram-каналах. Специальная ответственность за нарушение рассмотренных правил пока не определена, однако ее появление ожидается в ближайшем будущем, что не исключает применения общих норм об ответственности за нарушение правил маркировки рекламы.
(Окончание следует)
Авторы: Виктор Наумов, Александр Котов, Ксения Смирнова, Рузанна Ахобекова, Екатерина Тытюк, Илона Черных, Александр Ганзер, Георгий Пчелинцев
© 2023 Nextons. Содержание данной публикации не является юридической консультацией и не может служить основанием для осуществления каких-либо действий или отказа от действий. Более подробная информация представлена в разделе «Правовая информация» на
сайте.
(* Meta, Facebook и Instagram – признаны экстремистской организацией и запрещены на территории РФ)