Минкомсвязь представила законопроект о ратификации протокола изменений в европейскую конвенцию о защите ПД

285

На портале общественных обсуждений опубликован разработанный Минкомсвязью проект федерального закона «О ратификации Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Напомним, протокол был подписан Россией в октябре прошлого года. Участие в протоколе позволит российским IT-компаниям на равных с европейскими защищать интересы своих пользователей, в то же время противостоять попыткам отдельных стран незаконно получать чувствительную информацию о наших гражданах. Вступивший в силу в мае 2018 года европейский регламент GDPR рассматривает правовой режим обработки персональных данных в странах, присоединившихся к конвенции, как адекватный. Это значит, что европейские регуляторы в рамках GDPR не будут применять к российским компаниям, работающим на рынках ЕС, дополнительные меры защиты персональных данных своих граждан.

Как говорится в пояснительной записке к законопроекту, протокол содержит иные правила, чем предусмотренные законодательством Российской Федерации. Исполнение Протокола Российской Федерацией потребует внесения изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» и Кодекс Российской Федерации об административных правонарушениях. Исходя из указанных положений (в том числе условий вступления Протокола в силу), предусмотрен шестимесячный срок подготовки соответствующих изменений.

Так, модернизированной конвенцией вводятся новые определения «контролер» (что соответствует понятию «оператор», закрепленному в Федеральном законе «О персональных данных»), «лицо, осуществляющее обработку персональных данных» и «получатель».

Модернизированная конвенция обязывает контролера своевременно уведомлять компетентный надзорный орган об утечках данных, которые могут привести к серьезным нарушениям прав и основных свобод субъектов данных.

В связи с чем за невыполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о случаях неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных, устанавливается административная ответственность.

Модернизированная конвенция допускает исключения и ограничения (статья 11) в целях защиты национальной безопасности, обороны, общественной безопасности, важных экономических и финансовых интересов государства, обеспечения беспристрастности и независимости судебной власти или предотвращения, расследования и наказания преступлений, исполнения наказания по уголовным делам и другим существенным интересам общества. Так, в проект федерального закона «О ратификации Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (далее – законопроект) включены заявления, предусматривающие, что Российская Федерация в соответствии с пунктами 1 и 3 статьи 11 Конвенции, изложенных в редакции статьи 14 Протокола, может относить отдельные категории персональных данных к сведениям, составляющим государственную тайну.

Указанное заявление коррелирует с положениями законодательства Российской Федерации о государственной тайне.

В модернизированной конвенции содержится требование учредить один или несколько надзорных органов, ответственных за ее выполнение с четким описанием их полномочий. Законопроектом эти полномочия возлагаются на уполномоченный орган по защите прав субъектов персональных данных (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи — Роскомнадзор).

Протоколом устанавливаются минимальные требования к защите прав субъектов персональных данных. В целях дополнительной защиты прав субъектов персональных данных во вносимых в Федеральный закон «О персональных данных» и Кодекс Российской Федерации об административных правонарушениях изменениях будут предусмотрены нормы, направленные на повышение уровня защиты прав субъектов персональных данных.