22 июня был последним днем, когда принимались поправки в законопроект о внесении изменений в Закон о персональных данных (ПДн). Бизнес-объединения активно выступили против ряда нововведений, которые вносят значительные финансовые обременения или усложняют ряд бизнес-процессов. При этом претензии у субъектов СМБ, крупных маркетплейсов, банков и финансовых компаний разные.
© ComNews
23.06.2022

22 июня был последним днем, когда принимались поправки в законопроект о внесении изменений в Закон о персональных данных (ПДн). Бизнес-объединения активно выступили против ряда нововведений, которые вносят значительные финансовые обременения или усложняют ряд бизнес-процессов. При этом претензии у субъектов СМБ, крупных маркетплейсов, банков и финансовых компаний разные.

Накануне слушаний в Государственной Думе во втором чтении законопроекта №101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных", который внесен в апреле текущего года группой депутатов, бизнес-объединения начали активную деятельность по корректировке ряда положений.

https://www.comnews.ru/content/219652/2022-04-07/2022-w14/operatorov-persdannykh-obyazhut-ne-obyazyvat

К примеру, по подсчетам "Опоры России", издержки компаний малого и среднего бизнеса (СМБ) составят 33 млрд руб. в год, а затраты на приобретение оборудования и ПО, использование которого станет обязательным, - 1,7 трлн руб. Такие оценки приводятся в письме исполнительного директора "Опоры России" Андрея Шубина одному из авторов законопроекта №101234-8 председателю комитета Государственной Думы по информационной политике, информационным технологиям и связи Александру Хинштейну.

Эксперт по информационной безопасности компании "Крок" Анастасия Федорова согласна, что изменения, вносимые в федеральный закон "О персональных данных" апрельским законопроектом №101234-8 в текущей редакции, действительно, обязывают всех операторов ПДн обеспечить непрерывное взаимодействие с ГосСОПКА, что накладывает целый комплекс обязательств. "Однако на эти требования необходимо смотреть не только в контексте использования СКЗИ, обеспечивающих защищенный канал связи, а такие сертифицированные средства на российском рынке представлены, а в более широком контексте, так как помимо обеспечения канала связи все операторы ПДн должны будут обеспечить непрерывное взаимодействие с аккредитованными центрами ГосСОПКА, выстроить процессы по постоянному мониторингу и управлению инцидентами ИБ, внедрить такие системы или получить их как услугу на аутсорсинге, что повлечет еще более существенные дополнительные расходы: помимо взаимодействия с Центрами, в срок до 24 часов об инцидентах с ПДн необходимо будет уведомлять Роскомнадзор, и это кроме взаимодействия с центром ГосСОПКА", - отмечает она.

По мнению Анастасии Федоровой, обязательство иметь постоянное подключение к ГосСОПКА действительно является для СМБ серьезным обременением: "Стоит обратить внимание, что в соответствии с действующим законодательством все лица, задействованные в обработке ПДн, являются операторами ПДн, и мы сталкиваемся с ситуацией, когда субъекты не только крупного и среднего, но и малого бизнеса должны будут подключаться к таким центрам, нанимать специалистов ИБ в штат и внедрять процессы и системы управления инцидентами ИБ. Это грозит преимущественным неисполнением предлагаемой нормы и однозначно многократно возрастающей нагрузкой на центры ГосСОПКА и НКЦКИ. Очевидно, приемлемым решением было бы введение категорирования операторов ПДн по степеням их критичности в зависимости от объемов и типов обрабатываемых ПДн, субъектов ПДн и других критериев, влияющих на последствия для субъектов ПДн в случае утечек данных, и возложение обязанности по подключению к ГосСОПКА только критичных операторов".

Также серьезной критике подвергается новое требование об обязательном уведомлении регулятора о трансграничной передаче персональных данных.

"Предлагаемый в проектируемой редакции ст.12 Закона №152-ФЗ уведомительный порядок в отношении любой трансграничной передачи персональных данных существенно ужесточает порядок такой передачи персональных данных, в связи с чем представляется чрезмерным. Формально при направлении даже обычного электронного письма иностранному контрагенту за рубеж с корпоративной электронной почты осуществляется трансграничная передача персональных данных работника - как минимум ФИО отправителя. Заранее определить точный перечень получателей такого рода информации и обобщить их в уведомлении в уполномоченный орган представляется не только крайне затруднительным, но и юридически бесполезным", - такой комментарий содержат предложения по корректировке законопроекта, внесенные Национальным советом финансового рынка (НСФР) и направленные также на имя Александра Хинштейна.

Эксперты НСФР нашли еще целый ряд шероховатостей, которые допускают неоднозначное толкование не в пользу оператора персональных данных (полный перечень данных предложений можно найти по адресу https://rosfinsovet.ru/site/public/files/13/12669-324-persdan85-7-3_tp-nsfr-na-zp--101234-8-usil-zashchity-pdn__08.06.22_.pdf).

По мнению Анастасии Федоровой, в рассматриваемом законопроекте нормы по трансграничной передаче были полностью изменены: "Действительно видится, что предлагаемая разрешительная система может привести к затруднениям в передаче персональных данных и сложностям в товарообмене. Среди рисков хочется подсветить, что, помимо получения отказа в возможности передачи ПДн, на операторов ПДн ляжет обязанность по заполнению разрешений на трансграничную передачу, требующих детального изучения законодательных норм по защите ПДн страны получателя, применяемых стороной получателя мер по защите и уничтожению ПДн и т.п. данных. Мера в контексте текущих событий выглядит оправданной, однако явно требуется детальная проработка критериев отказа. Также хочется отметить, что в предлагаемой норме отсутствует получение согласия субъекта на трансграничную передачу ПДн, что снижает уровень информированности субъектов ПДн о распространении их ПДн".

В Роскомнадзоре с оценками издержек, которые несет введение уведомлений о трансграничной передаче персональных данных, не согласны. "Защита персональных данных российских граждан при трансграничной передаче является частью суверенитета страны. Законопроект направлен на создание правовых оснований и механизмов обеспечения данной защиты. Реализация законопроекта не является затратной и обременительной для бизнеса", - ответили ComNews в пресс-службе Роскомнадзора.

Также пресс-служба регулятора напомнила, что законопроект развивает уже действующие нормы закона о защите ПД при передаче за рубеж, допускающего трансграничную передачу, только если оператор предварительно убедился в безопасности такой передачи: "Оператор персональных данных должен уведомлять Роскомнадзор один раз для каждой страны, в которую передает, а не о каждой транзакции. Более того, законопроект не запрещает передачу персональных данных во многие страны мира на время рассмотрения уведомления. Именно поэтому речь об уведомлении ведомства, а не получении разрешения. Это касается стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (46 стран), а также стран, которые включены Роскомнадзором в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных (29 стран)".​

"Мы планируем провести целую серию встреч с бизнесом для обсуждения и уточнения положений законопроекта. Цель - найти механизм, максимально необременительный для бизнеса, который не создаст дополнительных значимых издержек для операторов персональных данных", - такой комментарий в ответ на запрос ComNews дала пресс-служба Минцифры.

Новости из связанных рубрик