Юристы объяснили новые правила работы с персональными данными

Госдума принимает новые поправки в закон «О персональных данных», чтобы обеспечить их безопасность и предотвратить сливы. Операторов обяжут закупить дорогостоящее оборудование и информировать ФСБ обо всех инцидентах, повлекших утечку. Роскомнадзор получит право «запирать» персональные данные россиян внутри страны. Но это поставит под угрозу IT-компании и многие другие интернет-бизнесы. А еще законопроект в случае его принятия сделает ЕГРН закрытым реестром. Юристы сомневаются в эффективности обсуждаемых поправок и предупреждают о негативных последствиях.

Несмотря на постоянное совершенствование законодательных норм по работе с персональными данными, громкие утечки все равно происходят. В марте в сети оказалась информация о клиентах «Яндекс Еды», и все желающие смогли узнать, сколько денег на еду тратит его сосед. А в начале мая данные утекли из «Гемотеста». В открытом доступе оказались не только имена, фамилии, адреса и номера телефонов клиентов лаборатории, но и их полные истории болезни, а также сведения о тестах на ВИЧ. Подобные утечки случаются регулярно и в последнее время все чаще, поэтому власти вынуждены принимать все новые меры, чтобы предотвратить утечки и сливы.

20 мая Владимир Путин заявил: «Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в частности за счет более строгого контроля правил использования служебной техники, коммуникаций, связи». А 24 мая Госдума приняла в первом чтении новый пакет поправок в закон «О персональных данных». Положения законопроекта направлены на определение порядка взаимодействия бизнеса с государственными органами относительно персональных данных. Еще одна цель поправок — обеспечить экстерриториальную защиту информации о российских гражданах.

Например, поправки предусматривают, что клиенту нельзя отказать в предоставлении услуг, если он не хочет давать согласие на обработку персональных данных в случаях, когда необходимости в них нет. Компаниям станет сложнее манипулировать потребителями, которым больше не придется предоставлять свои данные в обмен, например, на участие в бонусной программе, объясняет смысл запрета советник Orchards

Orchards

Федеральный рейтинг.

группа
Арбитражное судопроизводство (крупные споры - high market)

группа
Экологическое право

группа
Антимонопольное право (включая споры)

группа
Банкротство (включая споры) (high market)

группа
Земельное право/Коммерческая недвижимость/Строительство

группа
Разрешение споров в судах общей юрисдикции

группа
ТМТ (телекоммуникации, медиа и технологии)

группа
Фармацевтика и здравоохранение

группа
Интеллектуальная собственность (Консалтинг)

Профайл компании

×

Анастасия Сивицкая.

Законопроект направлен на защиту прав субъектов персональных данных, поэтому он неизбежно ужесточит регулирование для бизнеса, комментирует руководитель цифровой группы Пепеляев Групп

Пепеляев Групп

Федеральный рейтинг.

группа
Антимонопольное право (включая споры)

группа
Арбитражное судопроизводство (средние и малые споры - mid market)

группа
ВЭД/Таможенное право и валютное регулирование

группа
Земельное право/Коммерческая недвижимость/Строительство

группа
Интеллектуальная собственность (Регистрация)

группа
Комплаенс

группа
Налоговое консультирование и споры (Налоговое консультирование)

группа
Налоговое консультирование и споры (Налоговые споры)

группа
Трудовое и миграционное право (включая споры)

группа
Цифровая экономика

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Консалтинг)

группа
Природные ресурсы/Энергетика

группа
Фармацевтика и здравоохранение

группа
Финансовое/Банковское право

группа
Экологическое право

группа
Банкротство (включая споры) (mid market)

группа
Корпоративное право/Слияния и поглощения (high market)

группа
Международный арбитраж

группа
ТМТ (телекоммуникации, медиа и технологии)

×

Полина Бардина. Большая часть изменений касается взаимодействия бизнеса с Роскомнадзором и другими ведомствами.

За границу — с разрешения властей

Руководитель практики интеллектуальной собственности и персональных данных юридической фирмы Клифф

Клифф

Федеральный рейтинг.

группа
Интеллектуальная собственность (Регистрация)

группа
Налоговое консультирование и споры (Налоговое консультирование)

группа
Частный капитал

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Консалтинг)

группа
Корпоративное право/Слияния и поглощения (mid market)

группа
ТМТ (телекоммуникации, медиа и технологии)

12место
По количеству юристов

25место
По выручке на юриста (более 30 юристов)

44место
По выручке

×

Ирина Ахмедова отмечает важность новых правил трансграничной передачи персональных данных. Их оператор должен будет заранее уведомить Роскомнадзор о каждой такой передаче. Сейчас в ведомство нужно сообщать только о стране, в которую передают информацию. По новым правилам нужно будет раскрывать контактные сведения получателя данных и сведения о мерах по защите передаваемых данных.

Кроме того, в уведомлении необходимо будет указать информацию о правовом регулировании в области персональных данных иностранного государства, под чьей юрисдикцией находится получатель, если предполагается передача данных на территорию страны, не обеспечивающей нужного уровня защиты. Это требование обяжет российских операторов привлекать юристов, разбирающихся в законодательстве зарубежных стран, или даже зарубежных юристов, что обернется значительными тратами, объясняет Ахмедова.

Эти поправки серьезным образом усложнят жизнь бизнеса: теперь перед каждым случаем трансграничной передачи новому лицу необходимо будет заранее уведомить Роскомнадзор, а также согласовать с ведомством принимаемые меры защиты.

Ирина Ахмедова

Более того, Роскомнадзор может просто запретить передавать данные за рубеж, если увидит необходимость защиты нравственности, здоровья и интересов граждан, а также «основ конституционного строя Российской Федерации и безопасности государства».

Законопроект дает РКН 30 дней на рассмотрение уведомлений. То есть деятельность компаний на это время «замораживается», объясняет Ахмедова. Эксперт ожидает, что страдать от этого будут как операторы, так и субъекты персональных данных, с согласия и в интересах которых необходима передача.

Хотя формально порядок уведомительный, в практике применения этих норм стоит ожидать неприятных сюрпризов, уверен руководитель практики «Медиаправо» юридической фирмы INTELLECT (ИНТЕЛЛЕКТ)

INTELLECT (ИНТЕЛЛЕКТ)

Федеральный рейтинг.

группа
Цифровая экономика

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Регистрация)

группа
ТМТ (телекоммуникации, медиа и технологии)

15место
По количеству юристов

24место
По выручке на юриста (более 30 юристов)

40место
По выручке

Профайл компании

×

Михаил Хохолков.

Эти поправки станут актуальными для IT-компаний, у которых часть штата разработчиков работает за пределами России, отмечает юрист. Ахмедова предупреждает об усложнении работы, которая и вовсе может быть заблокирована.

Информаторы ФСБ

Все операторы должны будут подключиться к системе ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и информировать ФСБ обо всех инцидентах, повлекших утечку персональных данных. «Это предложение вызвало наибольшую волну критики со стороны бизнеса. Взаимодействие с системой означает не только дополнительные траты для операторов, но и повышенную нагрузку на функциональность системы», — комментирует Бардина. С критикой инициативы выступила Российская ассоциация электронных коммуникаций (РАЭК), в которую входят «Ростелеком», VK, «Лаборатория Касперского», Samsung, Microsoft и другие. В организации заявили о существенных затратах на строительство защищенных каналов связи со средствами криптографической защиты.

Эта инициатива не нова, напоминает Ахмедова. Ее придумали еще в 2020-м, но тогда от идеи отказались в процессе принятия законопроекта № 107043-1. Тогда помогло возмущение бизнеса, и подключение стало носить рекомендательный характер. Теперь к идее вернулись, а законопроект уже поддержан Минцифры, поэтому, по оценке юриста, высока вероятность, что на этот раз нормы все-таки примут и мнение бизнеса учитывать не будут. Хотя он, как и раньше, против.

Уже стали традиционными вебинары с участием специалистов РКН, которые излагают мнения о предстоящих изменениях в законе «О персональных данных». Думаю, и в этот раз правоприменительная практика будет формироваться по «вебинарному праву».

Михаил Хохолков

Закрытый ЕГРН

Персональные данные из Единого государственного реестра недвижимости (ЕГРН) будут предоставляться третьим лицам только с согласия субъекта таких данных либо по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица «в целях защиты его прав и законных интересов». У владельца недвижимости остается право раскрыть свои персональные данные всем желающим: для этого ему необходимо обратиться в Росреестр с соответствующим заявлением.

Новый порядок получения данных из ЕГРН хоть и позволит ограничить получение таких сведений третьими лицами, но не защитит от взломов и утечек, отмечает старший юрист адвокатского бюро Адвокатское бюро Nordic Star (ранее Borenius Attorneys Russia)

Адвокатское бюро Nordic Star (ранее Borenius Attorneys Russia)

Федеральный рейтинг.

группа
Санкционное право

группа
Семейное и наследственное право

группа
Частный капитал

группа
Интеллектуальная собственность (Консалтинг)

группа
Интеллектуальная собственность (Регистрация)

группа
Корпоративное право/Слияния и поглощения (high market)

группа
Международные судебные разбирательства

группа
ТМТ (телекоммуникации, медиа и технологии)

группа
Арбитражное судопроизводство (крупные споры - high market)

Профайл компании

×

Вера Зотова. Как и не обеспечит удаление персональных данных, уже попавших в открытый доступ.

Теперь приобретаемую недвижимость будет сложнее проверить на предмет различных обременений, что плохо скажется на сделках с ней, уверена Сивицкая. По мнению юриста, поправки нарушают принципы действия реестра, который должен быть открытым и публично достоверным. Получение сведений из реестра затруднится, а в цепочке действий неизбежно будет задействован нотариус.

Другие новеллы

✔ Операторов обяжут в течение 10, а не 30 дней отвечать на запросы, связанные с незаконной обработкой персональных данных.
✔ У граждан появится право требовать прекратить ее обработку — операторам дают на это месяц.
✔ Компании будут обязаны уведомлять РКН об утечках в течение 24 часов. В этот срок необходимо установить причину инцидента, оценить предполагаемый вред и уведомить регулятора о мерах по устранению последствий.
✔ Российское законодательство о персональных данных по задумке авторов законопроекта должно действовать и за пределами России. Законопроект предусматривает возможность вмешательства уполномоченных органов власти в вопросы обработки персданных российских граждан на территории других государств. Как это будет реализовано — непонятно.
✔ Сокращается перечень случаев, когда не требуется уведомлять Роскомнадзора об обработке персданных. «Это, по сути, приведет к тому, что все без исключения компании будут обязаны направлять такое уведомление», — предупреждает партнер, руководитель Санкт-Петербургского офиса Semenov & Pevzner

Semenov & Pevzner

Федеральный рейтинг.

группа
Интеллектуальная собственность (Защита прав и судебные споры)

группа
Интеллектуальная собственность (Консалтинг)

×

Екатерина Смирнова.

Утечки продолжатся

Новые положения способны ограничить сбор персональных данных и облегчить устранение последствий утечек, уверена Зотова. В то же время такие положения в меньшей степени направлены на ликвидацию причин и предотвращение самих таких ситуаций.

Дело в том, что вопросы безопасности персональных данных скорее технические и социальные, чем правовые. Как показывает практика, чаще всего сливы случаются из-за действий конкретных сотрудников компании, которые хотят продать данные на стороне, добавляет Бардина. Кроме того, все чаще случаются кибератаки на инфраструктуру операторов. Закон может только усилить ответственность за неправомерную обработку данных, но не предотвратить утечки, отмечает Хохолков.

«Правовые методы позволяют своевременно привести деятельность операторов в соответствие требованиям законодательства и если не устранить риск утечки полностью, то как минимум снизить негативные последствия для операторов и субъектов персональных данных в будущем», — комментирует Бардина.

Вряд ли можно говорить о ситуации, когда мы полностью исключим утечку данных каким-либо способом. Это все равно что мечтать, что усовершенствование уголовного законодательства полностью исключит преступность.

Екатерина Смирнова

В правовом поле бороться с утечками сложно, соглашается Сивицкая. Способы, который действительно работают, ≈ ужесточение технических требований и наказаний. «Депутаты неоднократно поддерживали оборотные штрафы. Думаю, что такое ужесточение не за горами», — напоминает Хохолков.

После принятия поправок вряд ли можно говорить о новых возможностях для предотвращения утечек, считает Ахмедова. Разве что подключение к ГосСОПКА обяжет операторов приобрести технические средства защиты персональных данных, что позволит поднять уровень защиты. 

Смирнова уверена, поправки скорее создадут дополнительную нагрузку на бизнес, вызванную необходимостью соблюдения многочисленных бюрократических процедур: зачастую трудновыполнимых, затратных и излишних. Не совсем ясно, как дополнительное уведомление оператора о трансграничной передаче данных поможет не допустить утечку, отмечает эксперт, а полномочия Роскомнадзора, который сможет по своему усмотрению запретить такую передачу, и вовсе создает угрозу развитию интернет-бизнеса.

Метки записи:   , ,
Оставьте комментарий к этой записи ↓

Ваше имя *

Ваш email *

Ваш сайт

Ваш отзыв *

* Обязательные для заполнения поля