В этом браузере сайт может отображаться некорректно. Рекомендуем Вам установить более современный браузер.

Chrome Safari Firefox Opera IE  
Меню
x
 
 
Версия для печати

Персональные данные: итоги 2021 года и ожидания от 2022-го

28 января 2022

Важные изменения за 2021 год
Тенденции и ожидания от 2022 года

28 января ежегодно отмечается Международный день защиты персональных данных. Давно стала крылатой фраза, что персональные данные – это «новая нефть» цифрового мира. В России новая нефть бьет ключом и законодательство в этой сфере активно развивается. В данном кратком обзоре мы отразим некоторые наиболее важные изменения в законодательстве за 2021 год и тенденции, которые могут получить развитие в 2022 году.

Важные изменения за 2021 год

С 1 марта 2021 г. вступили в силу поправки, в результате которых утратило силу понятие «общедоступные данные» и появилась новая категория «персональные данные, разрешенные субъектом персональных данных для распространения». Обработка таких данных стала возможной только на основании специального согласия субъекта персональных данных, что значительно повлияло на деятельность компаний, которые ранее могли свободно обрабатывать такие данные, не получая согласие субъекта. Операторы теперь должны внимательно отслеживать ограничения и запреты, которые установил субъект в отношении его данных, и оперативно реагировать на требования субъекта об удалении его данных.

С 27 марта 2021 г. двукратно увеличились штрафы за нарушения в сфере персональных данных по 7 составам ст. 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ), появились 3 новых состава за совершение повторного нарушения1. Важно отметить, что увеличился срок давности привлечения к административной ответственность с 3 месяцев до 1 года. Это значительно увеличивает глубину проверок Роскомнадзора и меняет тактику их прохождения.

С 1 июля 2021 г. действует новый порядок проведения проверок Роскомнадзора2. Во-первых, применяется риск-ориентированный подход, благодаря чему проверки становятся более точечными. Объекты контроля относят к той или иной категории риска, что влияет на периодичность проведения контрольных (надзорных) мероприятий и определяет возможные виды таких мероприятий. Во-вторых, среди возможных видов контрольных (надзорных) мероприятий появляется инспекционный визит, который проводится без предварительного уведомления контролируемого лица. В-третьих, сокращаются сроки проведения проверок.

Тенденции и ожидания от 2022 года

Сфера персональных данных, в первую очередь, направлена на защиту интересов субъекта персональных данных, однако сами субъекты ранее довольно редко проявляли свою активную гражданскую позицию, чтобы защитить свои права. Однако эта тенденция в скором времени может поменяться. Примечательно то, что в прошлом году был создан Центр правовой помощи гражданам в цифровой среде при ФГУП «Главный радиочастотный центр» Роскомнадзора3. Надеемся, что работа Центра по защите прав субъектов персональных данных будет активно влиять на правоприменительную практику. Благодаря принятым нормативным изменениям жалобы граждан могут оказывать влияние на частоту проверок операторов персональных данных. Соответственно, работа с обращениями граждан приобретает для операторов особую актуальность и становится важным аспектом минимизации рисков в сфере приватности.

Можно ожидать, что в 2022 году получат свое разрешение некоторые из давно назревших проблем – сбор одного согласия для разных целей обработки персональных данных, работа с обезличенными данными в коммерческих организациях. Многие из указанных вопросов неоднократно находили свое отражение в проектах нормативно-правовых актов и есть вероятность, что некоторые из них будут приняты в текущем году.

В 2022 получит свое дальнейшее развитие использование биометрии - вступят в силу принятые ранее нормативные акты, регулирующие вопросы обработки биометрических персональных данных4, а также порядок аккредитации организаций, владеющих информационными системами, которые обеспечивают идентификацию и (или) аутентификацию с использованием биометрических персональных данных5.

Однако главной проблемой продолжает оставаться тот факт, что в России до сих пор крайне слабо регламентирован вопрос ответственности за утечки персональных данных. По сути, именно утечки персональных данных, о которых мы все чаще слышим в СМИ, представляют собой наибольшую угрозу для интересов субъекта персональных данных. Представляется обоснованным, что введение административных составов с оборотными штрафами за утечки персональных данных (по примеру GDPR6) даст новый толчок развития обсуждаемой сфере. Суровые штрафы за утечки данных сместят фокус операторов и регулятора с соблюдения множества формальных требований на комплексную работу по защите данных и реагированию на утечки. Остается надеяться, что в 2022 году в данном направлении появятся конструктивные предложения на законодательном уровне.

  1. См. Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»
  2. См. Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных (утв. Постановлением Правительства Российской Федерации от 29 июня 2021 г. № 1046)
  3. https://4people.grfc.ru/
  4. Приказ Минцифры России от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»
  5. Постановление Правительства РФ от 20.10.2021 № 1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц»
  6. GDPR – General Data Protection Regulation / Общий регламент по защите персональных данных (Регламент ЕС 2016/679 от 27 апреля 2016 г.)

Поделиться:
Вернуться назад