23 сентября Правительство России одобрило План восстановления экономики. Данный план предусматривает отсрочку для выполнения требований о локализации баз данных, на которых хранятся персональные данные граждан России только в отношении автоматизированных информационных систем обеспечения воздушных перевозок (АИС ОВП), то есть на системы бронирования авиабилетов.
Нарушение требований о локализации баз данных, на которых хранятся персональные данные граждан России, иностранными компаниями влечет наложение административного штрафа в размере 4 млн. рублей, повторное нарушение – 18 млн. рублей.
Ранее компании Facebook Inc. и Twitter Inc. были оштрафованы за нарушение данного требования на 4 млн. рублей каждая.
В начале сентября сообщалось о возможной отсрочке выполнения данного требования для указанных компаний, однако отсрочка коснётся только системы бронирования авиабилетов. Такое решение вызвано «объективным снижением финансовых возможностей авиакомпаний в текущих условиях для своевременного перехода на системы оформления внутренних воздушных перевозок, расположенные на территории России», как заявил представитель Минтранса России.
Решение не ослаблять требования о локализации в отношении big-tech компаний скорее всего повлечёт наложение повторных штрафов и приблизит опасения экспертов в их возможной блокировке в России.
В сентябре на мероприятии AI Summit 2020, организованном Politico, исполнительный вице-президент Еврокомиссии в области цифровой экономики Маргрет
Вестагер заявила, что Еврокомиссия ведёт активную работу по разработке обновленных стандартных контрактных условий (Standard Contractual Clauses, SCCs), соответствующих требованиям GDPR в контексте решения Суд Европейского Союза (CJEU) по делу Schrems II. По её оценке, обновленные SCC будут утверждены Еврокомиссией до конца 2020 года.
Согласно GDPR передача персональных данных субъектов, находящихся в ЕС, в страны, которые, по мнению Еврокомиссии, не обеспечивают адекватной защиты прав таких субъектов (Россия, США), допускается при условии осуществления надлежащих гарантий.
Соответствующие гарантии можно обеспечить, в частности, при помощи SCC (стандартных договорных условий).
16 июля в деле Schrems II Суд Европейского Союза (CJEU) признал SCC соответствующими GDPR, но заявил, что компании должны проверять в каждом конкретном случае, обеспечивает ли закон страны, в которую данные передаются, адекватную защиту согласно GDPR и, если это не так, компании должны предоставлять дополнительные гарантии или приостановить передачу.
В результате данного решения компании, пользующиеся услугами сервис-провайдеров из США, а также передающие персональные данные в Россию на основании SCC оказались в состоянии неопределенности.
Разработка SCC до конца 2020 года может способствовать решению сложившейся проблемы несоответствия гарантий прав субъектов персональных данных по GDPR с «третьими странами».
1 октября надзорный орган в области защиты персональных данных Гамбурга (HmbBfDI) опубликовал пресс-релиз о штрафе компании H&M в размере 35.3 млн. евро за нарушение требований GDPR сервисным центром H&M в Гамбурге.
Что нарушил H&M:
С 2014 года часть H&M собирал подробную информацию о работниках сервисного центра (после возвращения из отпуска или болезни руководители подразделений проводили «беседы», в ходе которых работник делился информацией личного характера, включая сведения о здоровье, которая фиксировалась на сетевом диске компании).
- Указанная информация была доступна примерно 50 менеджерам компании
- Данные использовались в том числе для принятия управленческих решений в отношении работников;
- В октябре 2019 года H&M сообщил об инциденте информационной безопасности в своём сервисном центре надзорному органу Гамбурга, вследствие чего стало известно о нарушениях.
HmbBfDI пришёл к выводу о злостных нарушениях GDPR компанией вследствие сбора избыточных данных и их вторичного использования.
Данный штраф является одним из самых серьезных за 2020 год и вынесен в отношении крупнейшей розничной сетью по торговле одеждой в Европе.
6 августа Федеральная налоговая служба опубликовала письмо для Управлений ФНС России по субъектам Российской Федерации «Об отдельных вопросах налогообложения внутригрупповых услуг».
В данном письме Федеральная налоговая служба указывает, что у компаний должны быть основания для получения/оказания тех или иных услуг. А для признания правомерности расходования средств компании необходимо собрать доказательственную базу. К доказательствам могут относиться не только договор и акты оказания услуг, но и любые другие сведения, которые могут подтвердить факт оказания услуг. К таким сведениям могут относится, в том числе, деловая переписка и электронная корреспонденция, детализация телефонных звонков, протоколы встреч, служебные записки и справки, табели учета рабочего времени, отчеты об оказанных услугах, включающие в себя детализацию услуг с описанием действий контрагента, презентации, распечатки из внутренних электронных систем налогоплательщика, распечатки электронного календаря.
17 августа Министерство здравоохранения РФ опубликовало Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Проект). Рекомендации будут затрагивать не только медицинские организации, но и фарм компании.
Данный Проект направлен на согласование в ФСТЭК России.
В данных рекомендациях определен перечень организаций, которым необходимо будет проводить работы по критической информационной инфраструктуры. К таким организация будут относиться не только медицинские, но и лаборатории и диагностические центры, а также фармакологические организации.
Организациям, относящимся к сфере здравоохранения, при проведении работ по критической информационной инфраструктуры, необходимо будет ориентироваться на данные рекомендации.
Ознакомиться с текстом проекта можно по ссылке здесь