Группа депутатов и сенаторов внесла в Госдуму законопроект, ужесточающий требования к операторам персональных данных (ПДн). В частности, операторы должны будут незамедлительно сообщать органам власти об инцидентах с ПДн. Кроме того, устанавливается прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои ПДн. Предлагается ввести экстерриториальность применения российского законодательства о персональных данных. Также законопроект предполагает, что персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица — субъекта таких данных. Сами операторы данных высказывают неоднозначное отношение к законопроекту и отмечают, что он вызывает вопросы.
Напомним, что накануне Глава Минцифры РФ Максут Шадаев предложил ввести оборотные штрафы за утечку персональных данных.
В пресс-службе Минцифры сообщили, что инициатива оборотных штрафов за утечку персональных данных сейчас находится в проработке и до конца года будет внесена в Госдуму отдельным законопроектом. «Содержащиеся в законопроекте предложения направлены на повышение защищенности данных», — сказали в министерстве.
Ранее глава думского Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн заявил, что в ближайшее время в Госдуму планируют внести законопроект, который ужесточит требования к операторам персональных данных, а также усилит защиту ПДн, в том числе и биометрических
Авторы документа отмечают, что проект закона разработан в целях усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни. «В настоящее время проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц имеет чрезвычайно высокую актуальность. Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе», — говорят авторы законопроекта.
По их словам, широкое распространение в интернете получили сервисы, занимающиеся противоправным оборотом ПДн, где можно приобрести информацию о большинстве российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа- и железнодорожные перелеты и т.п.).
«Все это не только нарушает право человека на неприкосновенность частной жизни, гарантированное конституцией, но и создает реальную угрозу для совершения преступлений и правонарушений. Мошенничества, в том числе с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т.п. Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов («деанонимизация»), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания», — уточняют авторы законопроекта. По их мнению, в то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищенности. Также авторы документа отмечают, что подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте интернета, на который не распространяются требования российского законодательства в сфере персональных данных. При этом действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создает существенную угрозу в условиях текущей внешнеполитической ситуации. «В настоящее время, по данным Роскомнадзора, более 2,5 тыс. операторов ПДн осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны, где не обеспечивается их должная защита», — говорят авторы документа.
По словам председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрея Клишаса, одного из авторов законопроекта, он направлен на укрепление гарантий реализации конституционного права на неприкосновенность частной жизни и повышение степени защищенности персональных данных граждан РФ. «Инциденты, связанные с попаданием в открытый доступ персональных данных граждан, возникают все чаще. Противоправный оборот данных увеличивается. Это создает все большие риски и угрозы для совершения преступлений и правонарушений в указанной сфере, поэтому вопрос защиты персональных данных граждан сейчас крайне актуален», — сказал сенатор.
В пресс-службе Роскомнадзора отмечают, что законопроект своевременный и предложенные меры крайне необходимы для усиления защиты граждан от различных видов мошенничества. В первую очередь мошенничества, связанного с незаконным использованием персональных данных наших граждан. С телефонным и электронным спамом. Как рассказали в ведомстве, инициатива направлена на усиление защиты прав субъектов ПДн, снижение случаев компрометации баз ПДн и доступности таких баз в интернете, которыми пользуются мошенники. «Законопроект позволит защитить граждан от передачи их данных в недружественные России страны. Установлены условия трансграничной передачи ПДн, порядок и сроки принятия решения о запрете на передачу, условия принятия такого решения и уполномоченные на это органы власти», — объясняют в Роскомнадзоре. Важным нововведением в ведомстве считают установление экстерриториальности положений закона в части защиты ПДн российских граждан. Так, граждане России будут вправе требовать от иностранных операторов (владельцев сайтов, приложений, иных интернет-сервисов) соблюдения всех тех прав, которые предоставляет российское законодательство — право на доступ к данным, на компенсацию ущерба (в том числе морального вреда). Кроме того, этот принцип даст основание рассматривать споры с иностранными организациями в России. «Фактически законопроект уравнивает положение российских и иностранных интернет-компаний, которые обрабатывают данные наших граждан», — объясняют в пресс-службе ведомства.
Законопроектом вводится обязанность операторов ПДн незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти, а также обязанность обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. «Это позволит пресекать противоправную деятельность злоумышленников на начальном этапе и минимизировать риски, связанные с бесконтрольным распространением личных данных россиян. Сроки исполнения операторами запросов граждан по вопросам, связанным с незаконной обработкой ПДн, сократятся с 30 до 10 рабочих дней», — отметили в Роскомнадзоре.
Андрей Клишас подчеркнул, что операторы должны будут информировать профильные органы об инцидентах, которые повлекли такой неправомерный доступ, представление, распространение и передачу персональных данных граждан. «В случае, если будут установлены такие факты, которые повлекли нарушение прав граждан, оператор будет обязан уведомить об этом Роскомнадзор, включая информацию о предполагаемом вреде и мерах по устранению последствий», — сказал сенатор. Также он добавил, что Роскомнадзор будет вести реестр таких инцидентов.
Кроме того, законопроектом устанавливается прямой запрет операторам ПДн на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные, если такое предоставление не является обязательным. На операторов ПДн также возлагается обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок. Как сообщили в Роскомнадзоре, законопроект также предусматривает, что человеку не вправе будут отказать в предоставлении услуги, если он не сдал биометрические данные. «Обработка биометрических данных должна носить исключительно добровольный характер, не должно допускаться понуждение к предоставлению как самой биометрии, так и «вынужденно-добровольных» согласий на обработку биометрических данных», — считают в Роскомнадзоре. Кроме того, законопроект устанавливает дополнительную защиту биометрических персональных данных несовершеннолетних — дактилоскопические данные, рисунок вен и радужки глаза, а также используемые для идентификации человека фотография и запись голоса.
Законопроект устанавливает, что персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица — субъекта таких данных. «Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права», — говорится в документе.
По словам пресс-службы Роскомнадзора, перечисленные нововведения представляются весьма важными и позволяют говорить о последовательном продолжении формирования системы законодательства в области персональных данных, действительно ориентированной на обеспечение высокого уровня защиты прав граждан как субъектов персональных данных.
В пресс-службе компании Tele2 сказали, что пока изучают законопроект. «Уже при первичной оценке очевидно, что его тезисы вызывают вопросы», — отметили в компании.
Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков считает, что вносимые изменения значимые, но ожидаемые и предсказуемые. По его словам, очевидно, что по мере роста значимости данных будет ужесточаться правовое регулирование этой сферы. «Вызывает особое внимание тезис про «непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». Важно, чтобы обеспечение такого взаимодействия не создавало избыточного регулирования молодым технологическим отраслям, таким как EdTech (онлайн-образование), MediaTech и другие IT-содержащие бизнесы», — считает юрист. По его мнению, что касается нормы про «прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои ПДн», то к ней тоже есть большие вопросы. «Мы онлайн-школа, мы учим людей. Как можно оказать эту услугу без получения персональных данных? Очевидно, что эта норма должна быть смягчена, как минимум для нашей области деятельности», — уверен Павел Катков.
По материалам сайта Ассоциации юристов России