Госдума приняла закон (законопроект № 101234-8), вносящий изменения в Закон о персональных данных и иные законодательные акты РФ с целью совершенствования правовой защищенности субъектов персональных данных, а также усиления госконтроля в указанной сфере. Поправками введена обязанность операторов незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти.
Так, в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение суток с момента выявления такого инцидента уведомить о нем уполномоченный орган. Помимо этого, оператор обязан в течение трех суток уведомить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента. Также вводится обязанность операторов обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Законом втрое (с 30 до 10 дней) сокращены сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Устанавливается прямой запрет операторам на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные (в том числе биометрические), если такое предоставление не является обязательным. На операторов также возлагается обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок. Одновременно вводится ограничение на обработку биометрических персональных данных несовершеннолетних.
Закон изменяет порядок трансграничной передачи персональных данных. Уточняется, что при трансграничной передаче данных определяющим является не организационно-правовая форма получателя, а его нахождение на территории иностранного государства. Теперь операторы обязаны информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных. В исключительных случаях, при наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может быть ограничена по решению уполномоченного органа власти. Поправки вводят экстерриториальность применения российского законодательства о персональных данных. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Наряду с этим изменения вносятся и в Закон о государственной регистрации недвижимости. Устанавливается, что персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица – субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права. В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующему на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться: наличие договора, стороной которого являются заявитель и правообладатель, причинение ущерба личности или имуществу заявителя, наличие оснований для предъявления заявителем вещного иска к правообладателю и др. В связи с этим корреспондирующие изменения также вносятся в Основы законодательства РФ о нотариате.
Авторы поправок считают, что изменения устраняют существующую правовую коллизию, когда операторы, с одной стороны, обязаны не раскрывать третьим лицам персональные данные без согласия их правообладателя, но, с другой, выдача персональных данных из ЕГРН осуществляется без каких-либо ограничений. В пояснительной записке отмечается, что в настоящее время проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц имеет чрезвычайно высокую актуальность. Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе, указали инициаторы законодательной инициативы.
Они также подчеркнули, что широкое распространение получили сервисы в сети «Интернет», занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиаперелеты и железнодорожные переезды и т.п.). «Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов (т.н. “деанонимизация”), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищенности», – отмечается в пояснительной записке.
Авторы поправок обратили внимание, что подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространяются требования российского законодательства в сфере персональных данных. При этом действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создает существенную угрозу в условиях текущей внешнеполитической ситуации. По мнению разработчиков, закон позволит повысить уровень защищенности персональных данных российских граждан, обеспечивая конституционное право на неприкосновенность частной жизни.
Комментируя принятый закон, партнер юридической фирмы «Гареев, Махно и Касьян» Марсель Гареев отметил, что законодательство целенаправленно движется в сторону ужесточения контроля за персональными данными, что вызвано объективными причинами – постоянными утечками, а также внешнеполитической ситуацией. Он подчеркнул, что принятые поправки направлены на расширение круга операторов персональных данных, которые обязаны подать уведомление об обработке персональных данных в Роскомнадзор, а также они направлены на усиление контроля за трансграничной передачей персональных данных. «Вопрос только в том, как все это будет реализовано на практике. Есть определенные опасения. Так, проблемы могут возникнуть на стадии получения у иностранных операторов требуемой законом информации. Например, при запросе о том, какие меры защиты персональных данных применяются иностранной компанией», – заметил эксперт.
Также неоднозначным, по мнению Марселя Гареева, является новое ограничение по поводы выписок из ЕГРН. Эксперт считает, что теперь трудно будет получить информацию о собственниках недвижимости. «На мой взгляд, это существенно усложняет процедуру проверки объекта недвижимости при подготовке к ее покупке, а также создает дополнительную нагрузку на нотариат, которому дали возможность запрашивать данные собственника», – заключил он.
Старший юрист юридической фирмы Versus.legal Иван Кайсаров указал, что поправки направлены преимущественно на два аспекта: на уточнение отдельных положений, которые ранее не были прямо указаны, а выводились правоприменительной практикой или путем системного толкования различных положений закона, а также на усиление контроля за оборотом персональных данных, что должно обеспечить более высокую защиту субъектов персональных данных. «Если говорить о первом аспекте в части уточнения ранее действующих положений, то можно охарактеризовать вносимые изменения позитивно, так как субъекту персональных данных будет проще защищать свои права самостоятельно, не обладая юридическими знаниями, а путем прямой ссылки на положения закона», – полагает эксперт.
Иван Кайсаров отметил, что, согласно поправкам, оператор не вправе отказывать в обслуживании физическому лицу в случае его отказа предоставить биометрические персональные данные или дать согласие на обработку персональных данных, если получение оператором согласия на их обработку не является обязательным. Он заметил, что ранее на практике операторы периодически перестраховывались и даже при наличии возможности обрабатывать персональные данные без отдельного согласия физического лица, а в силу других оснований все равно требовали подписать согласие, а в некоторых случаях отказывали в услугах или иных благах, за которыми обращался клиент. «Теперь можно надеяться, что такая негативная практика со стороны операторов будет минимизирована», – прокомментировал он.
Иван Кайсаров указал, что усиление контроля за оборотом персональных данных, с одной стороны, позволяет больше защищать персональные данные физических лиц и контролировать законную обработку их данных, а с другой – накладывает дополнительные обязанности на бизнес, который должен потратить дополнительные ресурсы на соблюдение данных положений. Кроме того, в некоторых случаях это может немного замедлять определенные бизнес-процессы, уточнил эксперт. «В частности, введено требование о направлении отдельного уведомления перед началом трансграничной передачи для оператора. Выходит, что помимо подачи уведомления о начале обработки персональных данных нужно будет подавать еще дополнительное уведомление в Роскомнадзор в случае трансграничной передачи. Более того, перед подачей такого уведомления оператор должен будет запросить определенные сведения от иностранного лица, которому он передает сведения, например сведения о принимаемых таким лицом мерах по защите передаваемых персональных данных и об условиях прекращения их обработки», – разъяснил эксперт.
Он считает разумным введение требования об уведомлении Роскомнадзора в течение суток о несанкционированной утечке персональных данных и требования об оценке принимаемых иностранной стороной мер перед получением ей персональных данных. Однако аналогичное требование об отдельном уведомлении в части трансграничной передачи, по мнению Ивана Кайсарова, выглядит излишним. «Представляется, что при необходимости получать Роскомнадзору больше сведений о трансграничной передаче можно было бы добавить определенные графы в уведомление, которое подается перед началом общей обработки персональных данных, чтобы не увеличивать количество документов. Также можно было бы сделать какие-то более существенные послабления, если передача персональных данных происходит на территории стран, которые обеспечивают достаточный уровень их защиты, например стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», – размышляет эксперт.
Адвокат АА МГКА «Власова и партнеры» Людмила Космовская отметила, что законодатель предпринял попытку заставить иностранных операторов персональных данных внести сведения о себе в реестр Роскомнадзора и исполнять закон наравне с российскими операторами: «Представляется, что в текущей внешнеполитической обстановке, в отсутствие реально работающих межгосударственных соглашений РФ о правовой помощи принцип экстерриториальности может остаться лишь на бумаге».
Она обратила внимание, что поправками полностью переписаны законоположения о трансграничной передаче персональных данных. На операторов возложены новые обязанности – до начала трансграничной передачи данных сообщить об этом в Роскомнадзор отдельным уведомлением (если оператор уже передает данные за границу – уведомление должно быть направлено до 1 марта 2023 г.), а также провести оценку соответствия мер по защите персональных данных, принимаемых в иностранных государствах, пояснила Людмила Космовская.
Адвокат подчеркнула, что, согласно закону, сведения для проведения оценки оператору должны предоставить иностранные лица, в адрес которых осуществляется трансграничная передача данных. «Каким образом российские операторы должны проводить саму оценку, какими документами подтверждать свои выводы, в законе не говорится. При этом до принятия Роскомнадзором решения по уведомлению оператора трансграничная передача данных разрешена только в страны, обеспечивающие адекватную защиту персональных данных (список этих стран утверждается Роскомнадзором)», – отметила она.
Относительно предоставления Роскомнадзору права запрещать операторам любую трансграничную передачу данных по представлениям уполномоченных органов эксперт считает, что в случае такого запрета оператор обязан обеспечить уничтожение переданных ранее данных иностранным лицом, однако каким образом, остается открытым. «В целом изменения существенно усложнят работу всем операторам, имеющим иностранных контрагентов, а также самому Роскомнадзору, которому придется проверять тысячи новых уведомлений о трансграничной передаче данных, что может буквально парализовать работу регулятора», – прокомментировала Людмила Космовская.
Кроме того, она заметила, что изменения, устанавливающие новые обязанности операторов по взаимодействию с Роскомнадзором, обязывают всех операторов подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это, по мнению Людмилы Космовской, повлечет для них дополнительные затраты на приобретение оборудования и специализированного ПО: «Внедрение новелл потребует от операторов переделать значительное количество локальных документов в сфере персональных данных (согласий, поручений, политик, положений и др.), а также перестройки части внутренних бизнес-процессов, связанных с обработкой персональных данных».