Операторов персданных обяжут не обязывать

07.04.2022 |

Источник: Прайм-ТАСС СЗ

Группа депутатов и сенаторов внесла в Госдуму законопроект, ужесточающий требования к операторам персональных данных (ПДн). В частности, операторы должны будут незамедлительно сообщать органам власти об инцидентах с ПДн. Кроме того, устанавливается прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои ПДн. Предлагается ввести экстерриториальность применения российского законодательства о персональных данных. Также законопроект предполагает, что персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица-субъекта таких данных. Сами операторы данных высказывают неоднозначное отношение к законопроекту и отмечают, что он вызывает вопросы.

Напомним, что накануне Глава Минцифры РФ Максут Шадаев предложил ввести оборотные штрафы за утечку персональных данных (ПДн).

В пресс-службе Минцифры сообщили, что инициатива оборотных штрафов за утечку персональных данных сейчас находится в проработке и до конца года будет внесена в Госдуму отдельным законопроектом. "Содержащиеся в законопроекте предложения направлены на повышение защищенности данных", - сказали в министерстве.

Ранее глава думского Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн заявил, что в ближайшее время в Госдуму планируют внести законопроект, который ужесточит требования к операторам персональных данных, а также усилит защиту ПДн, в том числе и биометрических.

Авторы документа отмечают, что проект закона разработан в целях усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни. "В настоящее время проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц - имеет чрезвычайно высокую актуальность. Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе", - говорят авторы законопроекта.

По их словам, широкое распространение в интернете получили сервисы, занимающиеся противоправным оборотом ПДн, где можно приобрести информацию о большинстве российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т.п.).

"Все это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией, но и создает реальную угрозу для совершения преступлений и правонарушений. Мошенничества, в т.ч. с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т.п. Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов ("деаномизация"), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектов недвижимости, включая адреса их мест проживания", - уточняют авторы законопроекта. По их мнению, в то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищенности. Также авторы документа отмечают, что подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте интернета, на который не распространяются требования российского законодательства в сфере персональных данных. При этом действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создает существенную угрозу в условиях текущей внешнеполитической ситуации. "В настоящее время, по данным Роскомнадзора, более 2,5 тыс. операторов ПДн осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны, где не обеспечивается их должная защита", - говорят авторы документа.

По словам председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрея Клишаса, одного из авторов законопроекта, он направлен на укрепление гарантий реализации конституционного права на неприкосновенность частной жизни и повышение степени защищенности персональных данных граждан РФ. "Инциденты, связанные с попаданием в открытый доступ персональных данных граждан, возникают все чаще. Противоправный оборот данных увеличивается. Это создает все большие риски и угрозы для совершения преступлений и правонарушений в указанной сфере, поэтому вопрос защиты персональных данных граждан сейчас крайне актуален", — сказал сенатор.

В пресс-службе Роскомнадзора отмечают, что законопроект своевременный и предложенные меры крайне необходимы для усиления защиты граждан от различных видов мошенничества. В первую очередь мошенничества, связанного с незаконным использованием персональных данных наших граждан. С телефонным и электронным спамом. По их словам, инициатива направлена на усиление защиты прав субъектов ПДн, снижение случаев компрометации баз ПДн и доступности таких баз в интернете, которыми пользуются мошенники. "Законопроект позволит защитить граждан от передачи их данных в недружественные России страны. Установлены условия трансграничной передачи ПД, порядок и сроки принятия решения о запрете на передачу, условия принятия такого решения и уполномоченные на это органы власти", - объясняют в Роскомнадзоре. Важным нововведением в ведомстве считают установление экстерриториальности положений закона в части защиты ПД российских граждан. Так, граждане России будут вправе требовать от иностранных операторов (владельцев сайтов, приложений, иных интернет-сервисов) соблюдения всех тех прав, которые предоставляет российское законодательство - право на доступ к данным, на компенсацию ущерба (в том числе морального вреда). Кроме того, этот принцип даст основание рассматривать споры с иностранными организациями в России. "Фактически законопроект уравнивает положение российских и иностранных интернет-компаний, которые обрабатывают данные наших граждан", – объясняют в пресс-службе ведомства.

Законопроектом вводится обязанность операторов ПДн незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти, а также обязанность обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. "Это позволит пресекать противоправную деятельность злоумышленников на начальном этапе и минимизировать риски, связанные с бесконтрольным распространением личных данных россиян. Сроки исполнения операторами запросов граждан по вопросам, связанным с незаконной обработкой ПД сократятся с 30 до 10 рабочих дней", - отметил в Роскомнадзоре.

Андрей Клишас отметил, что операторы должны будут информировать профильные органы об инцидентах, которые повлекли такой неправомерный доступ, представление, распространение и передачу персональных данных граждан. "В случае, если будут установлены такие факты, которые повлекли нарушение прав граждан, оператор будет обязан уведомить об этом Роскомнадзор, включая информацию о предполагаемом вреде и мерах по устранению последствий", - сказал сенатор. Также он добавил, что Роскомнадзор будет вести реестр таких инцидентов.

Кроме того, законопроектом устанавливается прямой запрет операторам ПДн на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные, если такое предоставление не является обязательным. На операторов ПДн также возлагается обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок. В Роскомнадзоре сообщили, что законопроект также предусматривает, что человеку не вправе будут отказать в предоставлении услуги, если он не сдал биометрические данные. "Обработка биометрических данных должна носить исключительно добровольный характер, не должно допускаться понуждение к предоставлению как самой биометрии, так и "вынужденно-добровольных" согласий на обработку биометрических данных", - считают в Роскомнадзоре. По их словам, также законопроект устанавливает дополнительную защиту биометрических персональных данных несовершеннолетних – дактилоскопические данные, рисунок вен и радужки глаза, а также используемые для идентификации человека фотография и запись голоса.

Законопроект устанавливает, что персональные данные, содержащиеся в
ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица - субъекта таких данных. "Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права", – говорится в документе.

По словам пресс-службы Роскомнадзора, перечисленные нововведения представляются весьма важными и позволяют говорить о последовательном продолжении формировании системы законодательства в области персональных данных, действительно ориентированной на обеспечение высокого уровня защиты прав граждан как субъектов персональных данных.

В пресс-службе компании Tele2 сказали, что пока они изучают законопроект. "Уже при первичной оценке очевидно, что его тезисы вызывают вопросы", - отметили в компании.

Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков считает, что вносимые изменения значимые, но ожидаемые и предсказуемые. По его словам, очевидно, что по мере роста значимости данных будет ужесточаться правовое регулирование этой сферы. "Вызывает особое внимание тезис про "непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". Важно, чтобы обеспечение такого взаимодействия не создавало избыточного регулирования молодым технологическим отраслям, таким, как EdTech (онлайн-образование), MediaTech и другие IT-содержащие бизнесы", - считает юрист. По его мнению, что касается нормы про "прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои ПДн", то к ней тоже есть большие вопросы. "Мы онлайн-школа, мы учим людей. Как можно оказать эту услугу без получения персональных данных? Очевидно, что эта норма должна быть смягчена, как минимум для нашей области деятельности", - уверен Павел Катков.

Ирина Приборкина