Госдума принимает новые поправки в закон «О персональных данных», чтобы обеспечить их безопасность и предотвратить сливы. Операторов обяжут закупить дорогостоящее оборудование и информировать ФСБ обо всех инцидентах, повлекших утечку. Роскомнадзор получит право «запирать» персональные данные россиян внутри страны. Но это поставит под угрозу IT-компании и многие другие интернет-бизнесы. А еще законопроект в случае его принятия сделает ЕГРН закрытым реестром. Юристы сомневаются в эффективности обсуждаемых поправок и предупреждают о негативных последствиях.
Несмотря на постоянное совершенствование законодательных норм по работе с персональными данными, громкие утечки все равно происходят. В марте в сети оказалась информация о клиентах «Яндекс Еды», и все желающие смогли узнать, сколько денег на еду тратит его сосед. А в начале мая данные утекли из «Гемотеста». В открытом доступе оказались не только имена, фамилии, адреса и номера телефонов клиентов лаборатории, но их полные истории болезни, а также сведения о тестах на ВИЧ. Подобные утечки случаются регулярно и в последнее время все чаще, поэтому власти вынуждены принимать все новые меры, чтобы предотвратить утечки и сливы.
20 мая Владимир Путин заявил: «Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в частности за счет более строгого контроля правил использования служебной техники, коммуникаций, связи». А уже 24 мая Госдума приняла в первом чтении pfrjyjghjtrn № 101234-8 — новый пакет поправок в закон «О персональных данных». Положения законопроекта направлены на определение порядка взаимодействия бизнеса с государственными органами относительно персональных данных. Еще одна цель поправок — обеспечить экстерриториальную защиту информации о российских гражданах, пишет «ПРАВО.ru».
Например, поправки предусматривают, что клиенту нельзя отказать в предоставлении услуг, если он не хочет давать согласие на обработку персональных данных в случаях, когда необходимости в них нет. Компаниям станет сложнее манипулировать потребителями, которым больше не придется предоставлять свои данные в обмен, например, на участие в бонусной программе.
Обратите внимание
Законопроект направлен на защиту прав субъектов персональных данных, поэтому он неизбежно ужесточит регулирование для бизнеса. Большая часть изменений касается взаимодействия бизнеса с Роскомнадзором и другими ведомствами.
За границу — с разрешения властей
Опрошенные «ПРАВО.ru» юристы отмечают важность новых правил трансграничной передачи персональных данных. Их оператор должен будет заранее уведомить Роскомнадзор о каждой такой передаче. Сейчас в ведомство нужно сообщать только о стране, в которую передают информацию. По новым правилам, нужно будет раскрывать контактные сведения получателя данных и сведения о мерах по защите передаваемых данных.
Кроме того, в уведомлении необходимо будет указать информацию о правовом регулировании в области персональных данных иностранного государства, под чьей юрисдикцией находится получатель, если предполагается передача данных на территорию страны, не обеспечивающей адекватную защиту. Это требование обяжет российских операторов привлекать юристов, разбирающихся в законодательстве зарубежных стран, или даже зарубежных юристов, что обернется значительными тратами.
Обратите внимание
Эти поправки серьезным образом усложнят жизнь бизнеса: теперь перед каждым случаем трансграничной передачи новому лицу необходимо будет заранее уведомить Роскомнадзор, а также согласовать с ведомством принимаемые меры защиты.
Более того, Роскомнадзор может просто запретить передавать данные за рубеж, если увидит необходимость защиты нравственности, здоровья и интересов граждан, а также «основ конституционного строя Российской Федерации и безопасности государства».
Законопроект дает РКН 30 дней на рассмотрение уведомлений. То есть, деятельность компаний на это время «замораживается», объясняет Ахмедова – эксперт ожидает, что страдать от этого будут как операторы, так и субъекты персональных данных, с согласия и в интересах которых необходима передача.
Обратите внимание
Хотя формально порядок уведомительный, в практике применения этих норм стоит ожидать неприятных сюрпризов, уверены эксперты. Эти поправки станут актуальными для IT-компаний, у которых часть штата разработчиков работает за пределами России. Работа может быть усложнена или вовсе заблокирована.
Новые затраты
Все операторы должны будут подключиться к системе ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и информировать ФСБ обо всех инцидентах, повлекших утечку персональных данных.
Обратите внимание
Это предложение вызвало наибольшую критику со стороны бизнеса. Взаимодействие с системой означает не только дополнительные траты для операторов, но и повышенную нагрузку на функциональность системы. С критикой инициативы выступила Российская ассоциация электронных коммуникаций (РАЭК), в которую входят «Ростелеком», VK, «Лаборатория Касперского», Samsung, Microsoft и другие. В организации заявили о существенных затратах на строительство защищенных каналов связи со средствами криптографической защиты.
Вообще эта инициатива не нова, вспоминают юристы. Ее придумали еще в 2020-м, но тогда от идеи отказались в процессе принятия законопроекта № 107043-1. Тогда помогло возмущение бизнеса, и подключение стало носить рекомендательный характер. Теперь к идее вернулись, а законопроект уже поддержан Минцифры – поэтому, по оценке юриста, высока вероятность, что на этот раз нормы все-таки примут, и на этот раз мнение бизнеса учитывать не будут. Хотя он, как и раньше, против.
«Осторожно, ЕГРН закрывается!»
Персональные данные из Единого государственного реестра недвижимости (ЕГРН) будут предоставляться третьим лицам только с согласия субъекта таких данных либо по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица «в целях защиты его прав и законных интересов». У владельца недвижимости остается право раскрыть свои персональные данные всем желающим – для этого ему необходимо обратиться в Росреестр с соответствующим заявлением.
Обратите внимание
Новый порядок получения данных из ЕГРН, хоть и позволит ограничить получение таких сведений третьими лицами, но не защитит от взломов и утечек, отмечают эксперты. Как и не обеспечит удаление персональных данных, уже попавших в открытый доступ.
Теперь приобретаемую недвижимость будет сложнее проверить на предмет различных обременений, что плохо скажется на сделках с ней, уверены эксперты. По их мнению, поправки нарушают принципы действия реестра, который должен быть открытым и публично достоверным. Получение сведений из реестра затруднится, а в цепочке действий неизбежно будет задействован нотариус.
Другие новшества
-
Операторов обяжут в течение 10, а не 30 дней отвечать на запросы по вопросам, связанным с незаконной обработкой персональных данных.
-
У граждан появится право требовать прекратить ее обработку: операторам дают на это месяц.
-
Компании будут обязаны уведомлять РКН об утечках в течение 24 часов. В этот срок необходимо установить причину инцидента, оценить предполагаемый вред и уведомить регулятора о мерах по устранению последствий.
-
Российское законодательство о персональных данных, по задумке авторов законопроекта, должно действовать и за пределами России. Законопроект предусматривает возможность вмешательства уполномоченных органов власти в вопросы обработки персданных российских граждан на территории других государств. Как это будет реализовано – непонятно.
-
Сокращается перечень случаев, когда не требуется уведомление Роскомнадзора об обработке персданных. Это по сути приведет к тому, что все без исключения компании будут обязаны направлять такое уведомление», – предупреждают юристы.
«Текло» и будет «течь»?
Новые положения способны помочь ограничить сбор персональных данных и облегчить устранение последствий утечек. В то же время, такие положения в меньшей степени направлены на ликвидацию причин и предотвращение самих таких ситуаций.
Дело в том, что вопросы безопасности персональных данных скорее технические и социальные, чем правовые. Как показывает практика, чаще всего «сливы» случаются из-за действий конкретных сотрудников компании, которые хотят продать данные «на стороне». Кроме того, все чаще случаются кибератаки на инфраструктуру операторов. Закон может только усилить ответственность за неправомерную обработку данных, но не предотвратить утечки.
Правовые методы позволяют своевременно привести деятельность операторов в соответствие с требованиями законодательства и, если не устранить риск утечки полностью, то, как минимум, снизить негативные последствия для операторов и субъектов персональных данных в будущем.
Обратите внимание
Вряд ли можно говорить о ситуации, когда мы полностью исключим утечку данных каким-либо способом. Это все равно как мечтать о том, что усовершенствование уголовного законодательства полностью исключит преступность, говорят эксперты.
В правовом поле бороться с утечками сложно. Способы, который действительно работают – ужесточение технических требований и наказаний. Депутаты неоднократно поддерживали оборотные штрафы. Так что скорее всего такое ужесточение не за горами.
После принятия поправок вряд ли можно говорить о новых возможностях для предотвращения утечек. Разве что подключение к ГосСОПКА обяжет операторов приобрести технические средства защиты персональных данных, что позволит поднять уровень защиты.
Поправки скорее создадут дополнительную нагрузку на бизнес, вызванную необходимостью соблюдения многочисленных бюрократических процедур – зачастую сложно выполнимых, затратных и излишних. Не совсем ясно, как дополнительное уведомление оператора о трансграничной передаче данных поможет не допустить утечку, отмечает эксперт, а полномочия Роскомнадзора, который сможет по своему усмотрению запретить такую передачу, и вовсе создает угрозу развитию интернет-бизнеса.