Изменения закона о персональных данных изменились

Вчера на заседании Комитета Государственной Думы по информационной политике, информационным технологиям и связи председатель Комитета Александр Хинштейн сообщил о том, что в части работы над проектом федерального закона № 101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации" к нему поступило 79 поправок, 32 из которых рекомендуются Комитетом к принятию, а 47 – к отклонению. Второе чтение запланировано на сегодня, 5 июля 2022 г.

22 июня был пос­ледним днем, ког­да при­нима­лись поп­равки в за­коноп­роект о вне­сении изме­нений в За­кон "О пер­со­наль­ных дан­ных". Биз­нес-объ­еди­нения в ходе подготовки законопроекта ко второму чтению ак­тивно выс­ту­пили про­тив ря­да но­вов­ве­дений, ко­торые вно­сят зна­читель­ные фи­нан­со­вые об­ре­мене­ния или ус­ложняют ряд биз­нес-про­цес­сов.

https://www.comnews.ru/content/220857/2022-06-23/2022-w25/k-personalnym-dannym-mnogo-voprosov

Пресс-служба Ozon сообщила о том, что ключевые возражения онлайн-ритейла по законопроекту учтены ко второму чтению. "Положения, имеющие драматические последствия для трансграничной онлайн-торговли, исключены", - сказал представитель пресс-службы.

Пресс-служба "МегаФона" сообщила, что в компании пока изучают документ. "Важно, чтобы регулирование не допускало дисбаланса интересов общества и бизнеса. Это позволит сделать законопроект эффективным и не допустит излишней административной нагрузки на операторов ПДн", - отметил представитель пресс-службы.

По словам Александра Хинштейна, одной из ключевых проблем защиты прав субъектов персональных данных остается доступность скомпрометированных баз персональных данных через сеть интернет. "Если ранее нелегальный доступ в основном имели только заинтересанты из круга лиц, обеспечивающих безопасность (для проверки контрагентов компаний и т.д.) и стоило "досье" десятки тысяч рублей, то теперь доступ предоставляется неограниченному кругу лиц через интернет-сервисы (в т.ч. телеграм-боты), и стоимость услуг составляет от 15 рублей. Выявляются и сервисы, ориентированные на сбор чувствительной персональной информации путем введения в заблуждения", - отметил Александр Хинштейн.

В части трансграничной передачи персональных данных срок рассмотрения Роскомнадзором уведомления сокращен с 30 до 10 рабочих дней. Мораторий на трансграничную передачу не распространяется, если передать данные нужно для защиты жизни, здоровья, жизненно важных интересов. Кроме того, правительство может определить категории операторов, на которых не распространяется мораторий. Правительство определит порядок подготовки решения о запрете на трансграничную передачу, как на основании уведомлений, так и по представлениям ФСБ, Минобороны, МИД и уполномоченных президентом или правительством ведомств.

Также Александр Хинштейн в ходе заседания сообщил о том, что закон не будет иметь обратной силы. "Те операторы, которые сегодня уже осуществляют трансграничную передачу данных должны будут направить только уведомление о такой текущей деятельности. Мораторий на передачу персональных данных в неадекватные страны вводиться не будет. Кроме того, состав сведений в уведомлении о намерении существенно уменьшен. Не надо будет направлять в Роскомнадзор наиболее объемные материалы (материалы об оценке оператором своих зарубежных контрагентов, а также список таких контрагентов). Однако Роскомнадзор имеет право запросить отдельно указанные сведения", - уточнил он.

По его словам, в части информирования об утечках ПДн, оператор обязан проинформировать в течение суток с момента выявления утечки, когда об утечке стало известно оператору или Роскомнадзору, а не с момента самой утечки. "Информирование происходит в два этапа: в течение суток – описание скомпрометированных данных и контактное лицо, в течение трех суток – о результатах внутренней проверки и (при наличии) ответственный за утечку", - рассказал Александр Хинштейн.

Говоря о других принятых поправках: в вопросе обработки биометрических персональных данных исключены положения об обработке биометрических персональных данных несовершеннолетних. Регулирование обработки биометрии несовершеннолетних продолжится в рамках законопроекта о единой биометрической системе (ГИС).

Кроме того, исключено требование о непрерывности взаимодействия оператора с ГОССОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак). Также оператор ПДн получил возможность включать в договор поручения требования о соблюдении конфиденциальности и безопасности персональных данных, а также требовать от привлекаемого лица подтверждать соблюдение установленных законом требований, в том числе до фактической передачи ПДн.

В части согласования актов по обработке ПДн с Минцифры и Роскомнадзором закон наделяет правом государственные органы, Банк России и ОМСУ (органы местного самоуправления) выпускать акты по отдельным вопросам, касающимся обработки персональных данных, если это предусмотрено федеральными законами.

"Согласование необходимо лишь в случаях, если указанные акты регулируют отношения, связанные с осуществлением трансграничной передачи ПДн, обработкой специальных категорий ПДн, биометрических ПДн, ПДн несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания, и (или) устанавливают порядок и условия обработки ПДн, отличные от установленных настоящим Федеральным законом. То есть речь идет о согласовании только той обработки, которая несет в себе повышенный риск нарушения прав субъектов персональных данных", - объяснили авторы законопроекта.

По их словам, согласно новым поправкам, распространение ПДн в сети интернет допускается только с согласия субъекта этих данных. "Исключения предусмотрены только для ФОИВ, РОИВ, ОМСУ при распространении ПДн в рамках возложенных на них законодательством полномочий. Кроме того, договор, стороной которого является субъект ПДн, не должен содержать положения, ограничивающие права и свободы субъекта ПДн; устанавливающие случаи обработки ПДн несовершеннолетних лиц, за исключением случаев, предусмотренных законодательством РФ", - отмечают авторы документа.

Правки предусматривают введение понятия "лицо, осуществляющее обработку персональных данных", также документом утоняются понятия "обработка персональных данных", "трансграничная передача персональных данных". Установлено, что акты должны определять для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения.

Новые правки предусматривают, что срок ответа операторов на запросы гражданина или Роскомнадзора сокращен с 30 календарных дней до 10 рабочих дней. В качестве базового срока ответа установлено 10 рабочих дней, однако предусмотрена возможность продления срока ответа, но не более, чем на 5 рабочих дней, в случае направления оператором в адрес субъекта персональных данных и Роскомнадзора мотивированного уведомления с указанием причин продления срока.

Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков отметил, что пока, на этапе парламентских слушаний, все это остается теорией. По его словам, оценивать эффективность поправок можно будет только на практике - когда их применят и пройдет хотя бы год, когда отрасль будет по ним работать. "Однако уже сейчас понятно, что порядок в сфере защиты ПДн и степень участия в этом процессе регулятора неразрывно связаны, и, как это ни печально, оператором придется смириться с тем, что и законодатель, и правоприменитель (Роскомнадзор и другие причастные структуры) будут обращаться все более пристальное внимание на эти проблемы", - отмечает юрист.

По его словам, в условиях нарастающей информационной борьбы владение данными становится критически важным конкурентным преимуществом, и преимуществом не только коммерческим. "В этом смысле сегодня сложнее всего будет большим игрокам - большим интернет-магазинам, социальным сетям, онлайн-школам, клиникам. Потому что у них утечки вероятнее всего, риски - выше всего, а потому и внимание государство должно уделять прежде всего им", - заключил Павел Катков.

По словам адвоката коллегии адвокатов Pen & Paper Анастасии Саниной, представляется, что в целом внесенные правки делают применение закона более эффективным и простым на практике. Юрист считает, что учтены основные риски, возникающие при передаче ПДн и предложены реально необходимые способы их минимизации.

"Например, операторов предлагается избавить от необходимости направлять в Роскомнадзор расширенный объем сведений при уведомлении о намерении осуществлять трансграничную передачу данных. Снятие моратория на трансграничную передачу данных в жизненно важных, экстренных случаях и определение круга операторов, на которых не распространяется такой мораторий, представляется оптимальным для неотложных ситуаций", - говорит Анастасия Санина.

По ее мнению, сокращение сроков рассмотрения Роскомнадзором уведомления о трансграничной передаче данных и сроков для ответа операторов на запросы граждан и Роскомнадзора позволит обрабатывать ПДн более оперативно. "Отдельные правки учитывают специфику конкретных правоотношений. Например, в противовес положению о том, что банк не вправе самостоятельно получать выписку из ЕГРН с указанием ПДн гражданина, банк должен иметь право получить такую выписку от самого заявителя, планирующего получить ипотечный заем. Потому вполне объяснимо, что положение об отсутствии у банка права запросить у заявителя такую выписку ЕГРН в описанном случае предлагается исключить", - объясняет юрист. По ее мнению, правки направлены на упрощение процесса обработки персональных данных, где это возможно без риска нарушения прав субъектов таких данных.