Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ был принят достаточно давно. Однако в данный закон постоянно вносятся изменения, поэтому компаниям нужно корректировать свои документы с работниками, например, согласие о предоставлении персональных данных, локальные акты, а также оценивать свои риски в части работы с иностранцами.
В соответствии со статьёй 10.1 Закона "О защите персональных данных" сказано, что согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешённых субъектом персональных данных для распространения.
В случае раскрытия персональных данных придётся доказывать, что такое раскрытие является законным.
Сейчас очень многие организации, органы власти используют специальные формы на сайте. Например, часто такие формы находятся на сайтах госорганов.
Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, может быть предоставлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
На государственном уровне используется государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
Экономический субъект может разработать свои правила, и например, разместить их в сети Интернет для того, чтобы соблюсти требования законодательства и разъяснить свои особенности работы с персональными данными.
При составлении таких правил необходимо обратить внимание на рекомендации Роскомнадзора.
Но в последнее время работа с трансграничными данными очень изменилась. Этому уделяется особое внимание.
Трансграничная передача данных была введена в законодательство в 2022 году, а также были приняты новые требования в отношении передачи персональных данных.
Согласно статье 12 федерального закона "О защите персональных данных" трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами Российской Федерации;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В целом, установлен запрет на трансграничную передачу данных.
В случае принятия федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, решения о запрете сбора с использованием информационных ресурсов иностранного лица персональных данных граждан Российской Федерации иностранное лицо, осуществляющее деятельность в сети "Интернет" на территории Российской Федерации, в отношении которого принято указанное решение, не вправе осуществлять сбор персональных данных граждан Российской Федерации.
Иностранное лицо, осуществляющее деятельность в сети "Интернет" на территории Российской Федерации, вправе возобновить сбор персональных данных граждан Российской Федерации с использованием своих информационных ресурсов с момента размещения федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
В случае принятия федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, решения о запрете трансграничной передачи персональных данных граждан Российской Федерации иностранному лицу, осуществляющему деятельность в сети "Интернет" на территории Российской Федерации, государственные органы, органы местного самоуправления, юридические или физические лица самостоятельно или совместно с другими лицами, организующими и (или) осуществляющими обработку персональных данных, не вправе осуществлять трансграничную передачу персональных данных иностранному лицу, осуществляющему деятельность в сети "Интернет" на территории Российской Федерации, в отношении которого принято указанное решение (Федеральный закон от 01.07.2021 N 236-ФЗ О деятельности иностранных лиц в информационно-телекоммуникационной сети Интернет на территории Российской Федерации).
Ещё одна проблема связана с работой с иностранными компаниями.
Зарубежные компании и граждане, которые оказывают на территории России информационные услуги с ежедневной аудиторией от 500 000 пользователей обязаны выполнить ряд обязательств, в том числе зарегистрировать компанию или филиал в РФ. Соответствующие поправки внесли в законодательство в 2021 году.
Необходимо определиться, кто является иностранным лицом.
Под иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, понимается иностранное лицо, осуществляющее любую деятельность, не запрещённую на территории Российской Федерации, осуществляемую при условии, что иностранное лицо является владельцем сайта в сети "Интернет", и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, доступ к которым в течение суток составляет более пятисот тысяч пользователей сети "Интернет", находящихся на территории Российской Федерации (далее — информационный ресурс иностранного лица), а также при одном из следующих условий:
- на информационном ресурсе иностранного лица предоставляется и (или) распространяется информация на государственном языке Российской Федерации, государственных языках республик в составе Российской Федерации или иных языках народов Российской Федерации;
- на информационном ресурсе иностранного лица распространяется реклама, направленная на привлечение внимания потребителей, находящихся на территории Российской Федерации;
- иностранное лицо осуществляет обработку сведений о пользователях, находящихся на территории Российской Федерации;
- иностранное лицо получает денежные средства от российских физических и юридических лиц.
Иностранным лицом, осуществляющим деятельность иностранного лица в сети "Интернет" на территории Российской Федерации, признается также:
- иностранное лицо, являющееся провайдером хостинга или иным лицом, обеспечивающим размещение информационных ресурсов в сети "Интернет", пользователи которых находятся в том числе на территории Российской Федерации;
- иностранное лицо, осуществляющее деятельность по обеспечению функционирования информационной системы и (или) программы для электронных вычислительных машин, которые предназначены и используются для организации распространения в сети "Интернет" рекламы, направленной на привлечение внимания потребителей, находящихся в том числе на территории Российской Федерации, посредством принадлежащих третьим лицам информационных ресурсов (далее — оператор рекламной системы);
- иностранное лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приёма, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет", в том числе находящихся на территории Российской Федерации (далее — организатор распространения информации в сети "Интернет").
Компания попадает под критерии необходимости регистрации в Российской Федерации, если
- Лица владеют сайтом, страницей сайта, информационной системой, программой для электронных вычислительных машин;
- их аудитория более 500 000 пользователей из РФ в день.
Также необходимо соблюдение одного из нескольких условий:
- информация подаётся на российском языке или на любом другом языке народов РФ;
- присутствует реклама действие, которой направлено на российских потребителей;
- осуществляется обработка данных о пользователей, которые находятся в РФ;
- оплата за товары или услуги поступает от российских физических и/или юридических лиц.
Что должна сделать иностранная компания, которая подпадает под "приземление" и необходимость регистрации в Российской Федерации.
- Разместить у себя на сайте информационную форму для приёма обращений российских граждан и компаний.
Для этого иностранные лица должны использовать личный кабинет. Личный кабинет используется иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, для получения от государственных органов Российской Федерации документов и иных юридически значимых сообщений и передачи в указанные органы документов и (или) сведений. Документы и иные юридически значимые сообщения считаются полученными иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, с момента их поступления в личный кабинет.
Иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, в личном кабинете размещаются сведения о созданном на территории Российской Федерации филиале, или открытом представительстве
- Необходимо зарегистрировать личный кабинет на официальном сайте Роскомнадзора.
- Установить программу предоставленную Роскомнадзором для подсчёта пользователей.
- Зарегистрировать в РФ компанию или открыть филиал либо представительство.
Также существуют требования в части обеспечения деятельности на территории Российской Федерации.
Филиал или представительство иностранного лица, осуществляющего деятельность в сети "Интернет" на территории Российской Федерации, либо российское юридическое лицо, учреждённое иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, обеспечивает:
- приём и рассмотрение обращений российских граждан, организаций к иностранному лицу, осуществляющему деятельность в сети "Интернет" на территории Российской Федерации, исполнение решений судов, решений (требований) государственных органов Российской Федерации, принятых в отношении такого иностранного лица;
- представление интересов иностранного лица, осуществляющего деятельность в сети "Интернет" на территории Российской Федерации, в судах;
- принятие мер на территории Российской Федерации по ограничению доступа к информации и (или) удалению информации, распространяемой с нарушением законодательства Российской Федерации на информационном ресурсе иностранного лица, если такая обязанность предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации.
В реестр попали 13 компаний и принадлежащие им ресурсы, в том числе Google, Meta, Twitter и другие. Согласно закону о "приземлении" ИТ-гиганты должны открыть в России филиал или юрлицо и зарегистрироваться на сайте Роскомнадзора[1]
К таким компаниям относятся следующие:
- Apple (iCloud, App Store, Apple Music);
- Meta Platforms (Facebook, Instagram, WhatsApp);
- Twitter;
- TikTok;
- Telegram;
- Zoom;
- Viber;
- Spotify;
- Likeme Pte. ltd (Likee);
- Discord;
- Pinterest;
- Twitch.
Кто и как будет отслеживать данные требования?
Данные требования отслеживает Роскомнадзор.
Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи:
- организует мониторинг информационных ресурсов;
- утверждает методику определения количества пользователей информационных ресурсов в сутки;
- вправе запрашивать у иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации, информацию, необходимую для ведения перечня, указанного в части 1 настоящей статьи. Указанные лица обязаны предоставлять запрашиваемую информацию не позднее чем в течение десяти дней со дня получения запроса федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
Какие риски существуют у компаний, которые не соблюдают данные требования?
Роскомнадзор будет использовать меры понуждения:
- информирование пользователей информационного ресурса иностранного лица о нарушении иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, законодательства Российской Федерации;
- запрет на распространение рекламы иностранного лица, осуществляющего деятельность в сети "Интернет" на территории Российской Федерации, и (или) его информационного ресурса в качестве объекта рекламирования;
- запрет на распространение рекламы на информационном ресурсе иностранного лица;
- ограничение осуществления переводов денежных средств и приёма платежей физических и юридических лиц в пользу иностранного лица, осуществляющего деятельность в сети "Интернет" на территории Российской Федерации;
- запрет на поисковую выдачу;
- запрет на сбор и трансграничную передачу персональных данных;
- частичное ограничение доступа к информационному ресурсу иностранного лица;
- полное ограничение доступа к информационному ресурсу иностранного лица.
Роскомнадзор может выдавать предписания.
Операторы поисковых систем, распространяющие в сети "Интернет" рекламу, которая направлена на привлечение внимания потребителей, находящихся на территории Российской Федерации, обязаны в течение суток с момента получения решения федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, о прекращении меры понуждения прекратить информирование пользователей информационного ресурса иностранного лица о нарушении иностранным лицом, осуществляющим деятельность в сети "Интернет" на территории Российской Федерации, законодательства Российской Федерации.
Роскомнадзор может установить ограничения в поисковой выдаче. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в случае принятия решения о прекращении выдачи по запросам пользователей сведений об информационном ресурсе иностранного лица в течение суток с момента принятия решения направляет в электронном виде в установленном им порядке операторам поисковых систем, распространяющим в сети "Интернет" рекламу, которая направлена на привлечение внимания потребителей, находящихся на территории Российской Федерации, требование о прекращении выдачи по запросам пользователей сведений об информационном ресурсе иностранного лица.
Также это штрафные санкции.
Часть 9 статьи 14.3 КоАП устанавливает штрафы для граждан и юрлиц в том случае, если они вопреки запрету РКН опубликуют рекламу на сайтах IT-компаний, в отношении которых введена соответствующая мера понуждения. Например, если Роскомнадзор введёт запрет на распространение рекламы в Telegram, а человек все равно опубликует там рекламу своего канала, то его смогут оштрафовать по части 9 статьи 14.3 КоАП.
Размеры штрафов для рекламодателей:
- для граждан: от 20 тыс. до 80 тыс. рублей;
- для должностных лиц: от 80 тыс. до 300 тыс. рублей;
- для юрлиц: от 500 тыс. рублей до 3 млн рублей.
Часть 10 статьи 14.3 КоАП устанавливает наказание для самих иностранных IT-компаний, которым запрещено распространять рекламу на своих сайтах, но они нарушили этот запрет. То есть, если Роскомнадзор введёт запрет на распространение рекламы, например, в Pinterest, но компания все равно будет размещать рекламные объявления, то её смогут оштрафовать.
Размеры штрафов для IT-компаний как рекламораспространителей:
- для граждан: от 30 тыс. до 100 тыс. рублей;
- для должностных лиц: от 100 тыс. до 500 тыс. рублей;
- для юрлиц: от 3 млн до 6 млн рублей.