В Ситуационном центре Роскомнадзора состоялось заседание Общественного совета, посвященное нововведениям в регулировании оборота персональных данных. Эксперты обсудили поправки в законодательство, направленные на защиту пользователей и ужесточение ответственности операторов персональных данных. Подробности — в материале «ФедералПресс».
«Поправки вызваны двумя причинами. Во-первых, персональные данные стали слишком ценным объектом для современной экономики. За ними идет, без преувеличения, охота. И человеку как носителю и владельцу этих персональных данных нужны адекватные меры защиты своих прав. Государство также должно получить инструменты влияния на ситуацию. Вторая причина – череда сообщений об утечках персональных данных, которые происходят с начала этого года», – отметил замглавы Роскомнадзора Милош Вагнер.
Так, с начала 2022 года в открытый доступ в сеть попали не менее 40 баз данных россиян, в результате которых скомпрометировано свыше 300 миллионов записей.
«По данным государственной автоматизированной системы РФ «Правосудие», максимальный штраф до 2021 года за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области ПД, либо обработку, несовместимую с целями сбора (ст. 13.11, ч.1), не превысил 30 тыс. руб. Это позволяет грешить излишне пристальным интересом к частной жизни граждан в равной мере и государственным структурам, и бизнесу. Каждый из нас может привести массу таких примеров: Москва, торговые сети, федеральные проекты», – сказала исполнительный директор Общероссийской общественной организации малого и среднего предпринимательства «Опора России» Ирина Алехина.
Изменения в закон № 152 «О персональных данных» были утверждены президентом России Владимиром Путиным 14 июля 2022 года. Множество поправок вступают в силу уже в ближайшее время. Первая из них касается обработки данных для исполнения договора, стороной в котором выступает человек – она призвана исключить из них дискриминационные положения, такие, как бессрочные согласия, трудновыполнимые условия и ограничение доступа к данным. В некоторых случаях, чтобы согласиться на условия договора, ничего делать было не нужно: к примеру, достаточно лишь находиться на сайте.
«Эти поправки защищают права владельца персональных данных, то есть всех граждан нашей страны. До них часто наблюдалась ситуация, когда при отказе гражданина предоставить персональные данные большие компании отказывались предоставлять услуги. Теперь это становится невозможным. Также закрепляется право граждан получать информацию о статусе своих персональных данных неограниченное количество раз, устанавливается срок ответа. Возможности государственных органов по защите персональных данных граждан тоже повышаются. Важно, чтобы и компании, работающие с персональными данными, могли быстро и легко выяснить, как обеспечить исполнение этих требований», – констатирует ИТ-эксперт Илья Костунов.
Теперь основным правовым основанием для обработки биометрических персональных данных является письменное согласие человека на такую обработку, а их предоставление не может быть обязательным, если иное явно не предусмотрено законом. Помимо этого, оператор не имеет права отказать человеку в обслуживании, если тот не согласится на предоставление персональных данных.
Еще одна поправка касается срока предоставления человеку исчерпывающей информации о правовых основаниях, целях обработки данных, их передаче и причинах этого, их составе и источниках получения. С 1 сентября срок ответа на такие запросы не должен превышать 10 рабочих дней с оговоркой, что срок ответа может быть увеличен еще на 5 рабочих дней.
Для операторов персональных данных тоже произошел ряд изменений. В частности, они будут обязаны информировать Роскомнадзор об инцидентах с персональными данными, в том числе и утечках, с момента их выявления. Варианта два: информирование в течение суток с описанием скомпрометированных данных и указанием контактного лица, или в течение трех суток, по итогам которых потребуется сообщить о результатах внутренней проверки и о лицах, чьи действия привели к утечке, при их наличии. Роскомнадзор планирует запустить на своем портале соответствующую форму для уведомления в электронном виде.
«Подчеркну, что именно надлежащее и своевременное информирование будет приниматься во внимание Роскомнадзором при рассмотрении вопроса о привлечении к административной ответственности. Кроме того, это станет доводом для судьи, который будет рассматривать протокол, в пользу того, что организация стремилась ответственно подходить к исполнению законодательства и к защите персональных данных», – уточнил Вагнер.
Закон существенно поменял правила трансграничной передачи персональных данных. С 1 марта 2023 года операторы до начала передачи должны будут уведомить об этом Роскомнадзор. Это касается тех, кто ранее не направлял такие данные. А операторов, которые уже осуществляют трансграничную передачу, обязанность вступает в силу немедленно. Состав сведений в уведомлении должен включать в себя информацию о том, в какие страны, с какой целью и какие данные передает оператор. В сентябре 2022 года Роскомнадзор планирует реализовать сервис подачи такого уведомления в электронном виде.
По словам главы ведомства Андрея Липова, защита персональных данных в России вышла на качественно новый уровень:
«Новые требования к безопасности персональных данных являются закономерным продолжением формирования нормативной системы, действительно ориентированной на обеспечение высокого уровня защиты прав граждан».
Фото: пресс-служба ГУ МВД по Свердловской области