В Госдуму внесён большой пакет поправок в законодательство о персональных данных

На сайте Госдумы зарегистрирован законопроект №101234-8 «О внесении изменений в Федеральный закон „О персональных данных“ и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» за авторством группы депутатов, в которую входят Александр Хинштейн, Сергей Боярский, Антон Горелкин, Андрей Луговой, а также сенатор Андрей Клишас.

Это достаточно большой документ, который охватывает собой многие вопросы, касающиеся трансграничной передаче персданных, взаимодействия операторов таких данных с властями, согласия на обработку и их передачу со стороны пользователей, а также регистрации недвижимости.

Депутаты позиционируют его как направленный на усиление защиты персональных данных россиян проект закона, однако собранные в документе тезисы говорят о более широком спектре применения.

«Мы регулярно сталкиваемся с проблемой утечек персданных. Эта проблема как иностранных ИТ-платформ, так российских компаний. При этом штрафы за распространение персданных мизерные, да и ответственность операторов несоизмерима с возможным ущербом для пользователей», — объясняет появление такого законопроекта председатель ИТ-комитета и один из автор инициативы Александр Хинштейн.

В пояснительной записке разработчики документа уточняют, что широкое распространение получили сервисы, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа и железнодорожные перелёты и т.п.). «Это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией, но и создаёт реальную угрозу для совершения преступлений и правонарушений. При этом подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте сети Интернет, на который не распространяются требования российского законодательства в сфере персональных данных», – пишут авторы законопроекта.

В документе также подчёркивается, что:

«Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов (т.н. „деаномизация“), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектов недвижимости, включая адреса их мест проживания. В то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищённости».

На основании законопроекта, операторы станут сразу же сообщать о происшествиях с принадлежащими им базами персональных данных уполномоченным органом власти. После принятия закона они будут должны обеспечивать непрерывное постоянное взаимодействие с государственной системой обнаружения предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА).

До того, как начнется трансграничная передача персональных данных, оператор должен будет ставить в известность о своем намерении Роскомнадзор. Уведомление нужно направлять в виде документов в бумажном электронном виде — для подписи уполномоченному лицу.

Передавать персональную информацию за границу могут запретить или ограничить, чтобы защитить основы конституционного строя России, нравственности, здоровья, прав и законных интересов граждан. Еще одно условие для этого — обеспечение обороны страны и безопасности государства. Решение оставят за Роскомнадзором.

Законопроетом вводится экстерриториальность действия российского законодательства в области персональных данных, то есть всё будет подчинено российским законам.

Для учёта информации об инцидентах с неправомерной обработкой персональных данных РКН будет вести реестр учёта инцидентов. «Информация, содержащаяся в указанном реестре, о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных, передается в федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности», – сказано в законопроекте.

Как отмечает Telegram-канал Privacy Expert, будет расширено понятие «трансграничная передача персональных данных» и уточнено положение лица, осуществляющего обработку персональных данных в ряде положений закона (обработчика). Вводится отдельное уведомление о трансграничной передаче с порядком подачи такого уведомления, возможностью запрета или ограничения трансграничной передачи. Также произойдут следующие изменения:

«Заложен порядок подтверждения уничтожения ПД подзаконным актом.

Уточнение в порядок уведомления Роскомнадзора об обработке по ст. 22 152-ФЗ (больше сведений).

Уполномоченный орган по защите прав субъектов персональных данных будет самостоятельным с законодательной инициативой».

По мнению Privacy Expert, вносимые изменения в федеральный закон №218-ФЗ «О государственной регистрации недвижимости» сделают сложнее процесс идентификации физлица-владельца недвижимости.

Источник ComNews, пожелавший остаться неназванным, считает, что озвученные предложения охватывают целый ряд разных направлений, которые требуют глубокой экспертной оценки и широкого обсуждения с профессиональным сообществом:

«Например, сведения о недвижимости из ЕГРН. Такие сведения являются единственным доказательством существования зарегистрированного права, закрытие доступа к ним нанесет серьезный урон многим процессам. При этом утверждение, что каждый желающий может запросить в ЕГРН выписку на любого гражданина, не вполне точно. Так, предоставление сведений из ЕГРН регулируется ст.62 Федерального закона от 13.07.2015 №218-ФЗ „О государственной регистрации недвижимости“. Частью 13 этой статьи установлено, что некоторые наиболее чувствительные сведения из содержащихся в ЕГРН — обобщенные сведения о правах отдельного лица на имеющиеся или имевшиеся у него объекты недвижимости, сведения о признании правообладателя недееспособным или ограниченно дееспособным и др. — могут быть предоставлены лишь ограниченному перечню заявителей».

«Среди них сами правообладатели, их законные представители и представители по доверенности, руководители и заместители руководителей государственных органов, суды, правоохранительные органы, судебные приставы и подобные субъекты. Соответственно, не приходится говорить о возможности любого лица произвольно получить сведения о другом лице из ЕГРН, – говорит собеседник ComNews. – В 2021 г. эта статья дополнена ч.1.1. и ч.1.2., которые в том числе направлены на защиту персональных данных правообладателей: законодатель закрепил, что персональные данные правообладателей нельзя размещать на официальном сайте Росреестра в открытом доступе. В случае принятия уполномоченными органами решений о наложении запрета на выдачу сведений о защищаемых лицах и их близких, объектах государственной охраны и членах их семей, сведения о таких лицах, содержащиеся в ЕГРН, не предоставляются, за исключением случаев, предусмотренных федеральными законами либо указом Президента Российской Федерации».

По его словам, к инициативе по налаживанию взаимодействия между операторами персональных данных и государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) также следует отнестись с большой осторожностью, понимая цели и последствия. Порядок взаимодействия ГосСОПКА с различными органами и организациями предусмотрен Федеральным законом от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Этот закон распространяется на критическую информационную инфраструктуру и ее субъекты, под которыми в первую очередь понимаются владельцы информационной инфраструктуры в ограниченном количестве сфер: здравоохранение, наука, транспорт, связь, энергетика, банки и финансовый рынок, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

«Что касается трансграничной передачи персональных данных, то регулирование в этой области, безусловно, существует и сейчас. Этому вопросу посвящена отдельная статья 12 в Федеральном законе от 27.07.2006 №152-ФЗ „О персональных данных“. До начала трансграничной передачи персональных данных оператор обязан убедиться, что иностранным государством, на территорию которого они будут переданы, обеспечивается адекватная защита прав субъектов ПДн. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов, может осуществляться в ограниченном перечне случаев», – говорит собеседник ComNews.

При этом он поддерживает инициативу в ее самом принципиальном вопросе — введении обязанности операторов персональных данных уведомлять государственные органы об утечках.

По мнению, другого источника, пожелавшего остаться неназванным, рациональным представляется только предложение об обязанности операторов персональных данных уведомлять государство об утечке — подобная норма есть в европейском праве. «Однако это не разъясняет последующие действия в отношении компании, данные клиентов которой скомпрометированы. С точки зрения клиента это слабое утешение. Требование банков предоставлять биометрические данные сильно преувеличено - пополнение биометрических систем проводится для удобства и ускорения обслуживания, исключительно с согласия граждан. То же самое можно сказать о сфере недвижимости — по запросу в ЕГРН любой желающий может получить лишь очень ограниченный круг данных. Так что предложения по большей части одиозны», – отмечает он.

Ранее Хинштейн мотивировал появление законопроекта утечкой базы «Яндекс.Еды», который «вновь показал, насколько не защищены персональные данные россиян». Как пояснил глава комитета, в настоящее время операторы обработки персональных данных вообще не обязаны уведомлять государство о произошедших утечках. «Не существует и никакого взаимодействия между операторами и госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информресурсы», — посетовал он, добавив, что никак не регулируется и трансграничная передача персональных данных россиян. «В сегодняшних условиях это является особенно опасным», — добавил депутат. Хинштейн также рассказал, что операторы, например, банки ультимативно требуют от граждан передачи не только персональных, но и биометрических данных, угрожая иначе отказом в предоставлении услуг. «Какой-либо ответственности за это они не несут», — подчеркнул он.