13 апреля 2022 г.

Увеличить
Максим Зиновьев
Увеличить
Никита Володин

В Госдуму внесли законопроект об усилении защиты персональных данных россиян. В Проекте предлагаются поправки в Закон о персональных данных, направленные на совершенствование правовой защищенности субъектов персональных данных, а также на усиление государственного контроля в этой сфере. Особое внимание уделяется трансграничной передаче персональных данных, а также вопросам взаимодействия оператора с субъектами и уполномоченным органом.

Предложения, касающиеся регулирования трансграничной передачи:

  • В случае принятия поправок операторы будут обязаны уведомлять Роскомнадзор о каждом факте трансграничной передачи персональных данных по указанной в законопроекте форме вдобавок к уведомлению об обработке персональных данных. При передаче в страну, не обеспечивающую адекватную защиту прав субъектов персональных данных, в таком уведомлении необходимо будет предоставить информацию о регулировании в области персональных данных страны-импортера данных.
  • Роскомнадзор фактически будет иметь дискрецию на разрешение или запрет трансграничной передачи. После рассмотрения уведомления в течение 30 дней РКН сможет запретить оператору передачу персональных данных, в результате чего необходимо будет уничтожить ранее переданные персональные данные.

Предложения, касающиеся регулирования обработки биометрических данных:

  • Законопроектом предлагается запретить обработку биометрических персональных данных несовершеннолетних за исключением указанных в законе случаев обработки биометрических персональных данных, не требующих согласия.
  • Предлагается запретить отказ от оказания услуги по причине непредоставления биометрических персональных данных субъектом.

Иные важные изменения, предлагаемые законопроектом:

  • Уточнено место размещения Оператором политики в отношении обработки персональных данных: теперь размещать её нужно не только в футере сайта, но и на всех формах сбора персональных данных, имеющихся на сайте оператора.
  • Роскомнадзору предлагается вести реестр учета «компьютерных инцидентов» в области персональных данных, в том числе утечек персональных данных, и определить порядок и условия взаимодействия с операторами в рамках ведения этого реестра.
  • Сроки реагирования оператора на запросы субъектов и Роскомнадзора предлагается сократить с 30 до 10 дней.

Данный законопроект пока только зарегистрирован в информационной системе Госдумы, а это значит, что в него его еще будут вноситься различные поправки. Однако сейчас уже понятно одно: поправки, предполагающие в том числе ведение РКН реестра фактов утечки персональных данных, в совокупности с позицией РКН и Минцифры, которые выступают за скорейшее введение оборотных штрафов за утечки персональных данных, имеют одну цель — ужесточить требования к операторам в сфере обработки персональных данных. Учитывая это, а также контекст, в котором рассматривается законопроект, можно прогнозировать его принятие — если не в полной мере, то в значительной части.

Резюме

Анализируя пока только исходный вариант законопроекта, уже можно выявить основные тенденции в сфере регулирования обработки персональных данных:

  1. Значительно ужесточается трансграничная передача персональных данных, вплоть до полного её запрета. Данное положение сильно усложнит жизнь Операторам, в особенности тем, которые пользуются американскими сервисами.
  2. Сроки реагирования на запросы субъектов сильно сокращаются и становятся короче тех, что установлены в GDPR (1 месяц). Охарактеризовать это можно следующим образом: российский закон идет навстречу субъектам персональных данных, однако для операторов соответствие таким требованиям может быть затруднительным: операторам, не имеющим в своем штате сотрудника, ответственного за отслеживание таких запросов, соблюсти указанные требования будет крайне сложно.

Источник: Максим Зиновьев, руководитель отдела по защите персональных данных Б-152; Никита Володин, консультант по защите персональных данных