Обзор закона о персональных данных

В условиях глобальной цифровизации и защиты персональных данных, мы представляем вашему вниманию основные аспекты российского закона о персональных данных, которые следует учитывать любому иностранному бизнесу, осуществляющему деятельность в России.

Что необходимо знать иностранным предпринимателям?

«Локализация» баз данных

• Что означает «локализация»?

Требование о локализации заключается в том, что компания, собирающая персональные данные, обязана осуществлять их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием локальных баз данных на территории РФ.

NB! Под требование подпадают непосредственно те компании, которые занимаются сбором данных, а не те, которые получили их от третьих лиц.

• Ответственность

На данный момент административные штрафы за нарушение требования о локализации составляют от 2 до 6 миллионов рублей и от 6 до 18 миллионов рублей за повторное нарушение.

Кто уже пострадал?

— В 2016 году Роскомнадзор заблокировал социальную сеть LinkedIn;

— В 2019 года суд наложил штраф в размере 4 млн рублей на Facebook и Twitter.

Требования к письменному согласию на обработку ПД

Закон указывает перечень случаев, когда согласие субъекта персональных данных на их обработку обязательно должно быть письменным.

• Обработка специальных категорий персональных данных
• Передача данных о сотрудниках российского представительства/филиала в головной офис за рубежом
• Передача персональных данных в страны, где нет надлежащего законодательства, обеспечивающего их защиту

При этом письменное согласие может быть получено как в бумажном виде, так и в электронном.

Уведомление об обработке персональных данных

Закон устанавливает обязанность компаний уведомлять уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о начале обработки персональных данных

Кто должен уведомлять?

• Представительства иностранных компаний в РФ
• Филиалы иностранных компаний
• Компании, зарегистрированные в РФ

Поручение на обработку персональных данных

Если представительство или филиал иностранной компании привлекает к обработке персональных данных другие компании (например, консалтинговую фирму), то необходимо письменно зафиксировать поручение на такую обработку.

Закон о персональных данных содержит закрытый перечень требований к форме такого поручения.

При этом, при поручении обработки персональных данных третьим лицам, именно оператор несет ответственность перед субъектом персональных данных.

Отдельные требования к иностранным компаниям в области персональных данных

• Использование доменного имени, связанного с РФ или субъектом РФ (.ru, .рф, .moscow и тд)

• Наличие русскоязычной версии сайта

При этом сайт с русскоязычной версией также должен отвечать ряду требований. Например, возможность расчета в рублях, наличие рекламы на русском языке.

• Размещение политики обработки персональных данных на информационном ресурсе

Итог

Стоит учитывать, что требования о персональных данных могут применяться к иностранным компаниям, даже если они не имеют физического присутствия в РФ. При этом госорганы будут оценивать «вовлеченность» такой компании в обработку персональных данных на территории РФ по критерию направленности ее деятельности на российский рынок и российских граждан.