Операторов персданных обяжут не обязывать
Напомним, что накануне Глава Минцифры РФ Максут Шадаев предложил ввести оборотные штрафы за утечку персональных данных (ПДн; см. новость ComNews от 6 апреля 2022 г.).
В пресс-службе Минцифры сообщили, что инициатива оборотных штрафов за утечку персональных данных сейчас находится в проработке и до конца года будет внесена в Госдуму отдельным законопроектом. "Содержащиеся в законопроекте предложения направлены на повышение защищенности данных", - сказали в министерстве.
Ранее глава думского Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн заявил, что в ближайшее время в Госдуму планируют внести законопроект, который ужесточит требования к операторам персональных данных, а также усилит защиту ПДн, в том числе и биометрических (см. новость ComNews от 4 апреля 2022 г.).
Авторы
По их словам, широкое распространение в интернете получили сервисы, занимающиеся противоправным оборотом ПДн, где можно приобрести информацию о большинстве российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа- и железнодорожные перелеты и т.п.).
"Все это не только нарушает право человека на неприкосновенность частной жизни, гарантированное конституцией, но и создает реальную угрозу для совершения преступлений и правонарушений. Мошенничества, в том числе с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т.п. Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов ("деанонимизация"), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания", - уточняют авторы законопроекта. По их мнению, в то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищенности. Также авторы документа отмечают, что подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте интернета, на который не распространяются требования российского законодательства в сфере персональных данных. При этом действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создает существенную угрозу в условиях текущей внешнеполитической ситуации. "В настоящее время, по данным Роскомнадзора, более 2,5 тыс. операторов ПДн осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны, где не обеспечивается их должная защита", - говорят авторы документа.
По словам председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрея Клишаса, одного из авторов законопроекта, он направлен на укрепление гарантий реализации конституционного права на неприкосновенность частной жизни и повышение степени защищенности персональных данных граждан РФ. "Инциденты, связанные с попаданием в открытый доступ персональных данных граждан, возникают все чаще. Противоправный оборот данных увеличивается. Это создает все большие риски и угрозы для совершения преступлений и правонарушений в указанной сфере, поэтому вопрос защиты персональных данных граждан сейчас крайне актуален", - сказал сенатор.
В пресс-службе Роскомнадзора отмечают, что законопроект своевременный и предложенные меры крайне необходимы для усиления защиты граждан от различных видов мошенничества. В первую очередь мошенничества, связанного с незаконным использованием персональных данных наших граждан. С телефонным и электронным спамом. Как рассказали в ведомстве, инициатива направлена на усиление защиты прав субъектов ПДн, снижение случаев компрометации баз ПДн и доступности таких баз в интернете, которыми пользуются мошенники. "Законопроект позволит защитить граждан от передачи их данных в недружественные России страны. Установлены условия трансграничной передачи ПДн, порядок и сроки принятия решения о запрете на передачу, условия принятия такого решения и уполномоченные на это органы власти", - объясняют в Роскомнадзоре. Важным нововведением в ведомстве считают установление экстерриториальности положений закона в части защиты ПДн российских граждан. Так, граждане России будут вправе требовать от иностранных операторов (владельцев сайтов, приложений, иных интернет-сервисов) соблюдения всех тех прав, которые предоставляет российское законодательство - право на доступ к данным, на компенсацию ущерба (в том числе морального вреда). Кроме того, этот принцип даст основание рассматривать споры с иностранными организациями в России. "Фактически законопроект уравнивает положение российских и иностранных интернет-компаний, которые обрабатывают данные наших граждан", - объясняют в пресс-службе ведомства.
Законопроектом вводится обязанность операторов ПДн незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти, а также обязанность обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. "Это позволит пресекать противоправную деятельность злоумышленников на начальном этапе и минимизировать риски, связанные с бесконтрольным распространением личных данных россиян. Сроки исполнения операторами запросов граждан по вопросам, связанным с незаконной обработкой ПДн, сократятся с 30 до 10 рабочих дней", - отметили в Роскомнадзоре.
Андрей Клишас подчеркнул, что операторы должны будут информировать профильные органы об инцидентах, которые повлекли такой неправомерный доступ, представление, распространение и передачу персональных данных граждан. "В случае, если будут установлены такие факты, которые повлекли нарушение прав граждан, оператор будет обязан уведомить об этом Роскомнадзор, включая информацию о предполагаемом вреде и мерах по устранению последствий", - сказал сенатор. Также он добавил, что Роскомнадзор будет вести реестр таких инцидентов.
Кроме того, законопроектом устанавливается прямой запрет операторам ПДн на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные, если такое предоставление не является обязательным. На операторов ПДн также возлагается обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок. Как сообщили в Роскомнадзоре, законопроект также предусматривает, что человеку не вправе будут отказать в предоставлении услуги, если он не сдал биометрические данные. "Обработка биометрических данных должна носить исключительно добровольный характер, не должно допускаться понуждение к предоставлению как самой биометрии, так и "вынужденно-добровольных" согласий на обработку биометрических данных", - считают в Роскомнадзоре. Кроме того, законопроект устанавливает дополнительную защиту биометрических персональных данных несовершеннолетних - дактилоскопические данные, рисунок вен и радужки глаза, а также используемые для идентификации человека фотография и запись голоса.
Законопроект устанавливает, что персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица - субъекта таких данных. "Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права", - говорится в документе.
По словам пресс-службы Роскомнадзора, перечисленные нововведения представляются весьма важными и позволяют говорить о последовательном продолжении формирования системы законодательства в области персональных данных, действительно ориентированной на обеспечение высокого уровня защиты прав граждан как субъектов персональных данных.
В пресс-службе компании Tele2 сказали, что пока изучают законопроект. "Уже при первичной оценке очевидно, что его тезисы вызывают вопросы", - отметили в компании.
Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков считает, что вносимые изменения значимые, но ожидаемые и предсказуемые. По его словам, очевидно, что по мере роста значимости данных будет ужесточаться правовое регулирование этой сферы. "Вызывает особое внимание тезис про "непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". Важно, чтобы обеспечение такого взаимодействия не создавало избыточного регулирования молодым технологическим отраслям, таким как EdTech (онлайн-образование), MediaTech и другие IT-содержащие бизнесы", - считает юрист. По его мнению, что касается нормы про "прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои ПДн", то к ней тоже есть большие вопросы. "Мы онлайн-школа, мы учим людей. Как можно оказать эту услугу без получения персональных данных? Очевидно, что эта норма должна быть смягчена, как минимум для нашей области деятельности", - уверен Павел Катков.