IT-комитет Госдумы одобрил законопроект об усилении ответственности за утечки ПД

284

Законопроект об усилении контроля за оборотом персональных данных (ПД), включая биометрию, обсуждался в четверг на заседании профильного комитета Госдумы и после одобрения был внесён в ГД.

Как пояснял ранее один из соавторов законопроекта, председатель комитета Александр Хинштейн, в настоящее время операторы обработки ПД не обязаны уведомлять государство о произошедших утечках. Не существует также никакого взаимодействия между операторами и госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы.

Операторы ПД — например, банки — ультимативно требуют от граждан передачи не только персональных, но и биометрических данных, угрожая иначе отказом в предоставлении услуг. Какой-либо ответственности за это они не несут.

Законопроект предполагает ответственность за незаконное использование ПД не только операторов ПД, но и третьих лиц, к которым ПД незаконно попали.

Законом никак не регулируется трансграничная передача ПД россиян, что в сегодняшних условиях просто опасно. Законопроект ограничивает сбор ПД, в частности биометрических данных, персональных данных о несовершеннолетних.

Отдельная тема – сведения о недвижимости. Это те же ПД, однако сегодня каждый желающий может запросить в ЕГРН выписку на любого гражданина и узнать, что именно ему принадлежит вместе с точными адресами: квартира, дача, офис. «То есть, с одной стороны, мы декларируем, что человек вправе самостоятельно распоряжаться своими ПД и ограничить к ним посторонний доступ. С другой — сведения о его жилище открыты для всех без ограничений. Конечно, это неправильно», – считает депутат – соавтор законопроекта.

Как сказано в пояснительной записке, документ направлен на совершенствование правовой защищённости субъектов ПД, а также усиление госконтроля в указанной сфере. Основные изменения вносятся в Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».

Так, законопроектом вводится обязанность операторов ПД незамедлительно информировать об инцидентах с принадлежащими им базами ПД уполномоченные органы власти, а также обязанность обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

См. также: Минцифры заявило о планах ввести наказание за неуведомление об утечках >>>

Втрое (с 30 до 10 дней) сокращаются сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой ПД.

Устанавливается прямой запрет операторам на отказ гражданам в оказании услуг при отказе предоставить свои ПД (в т.ч. биометрические), если такое предоставление не является обязательным. На операторов также возлагается обязанность прекратить дальнейшую обработку ПД по требованию их владельца в 30-дневный срок. Одновременно вводится ограничение на обработку биометрических ПД несовершеннолетних.

Совершенствуется порядок трансграничной передачи ПД. Уточняется, что при трансграничной передаче данных определяющим является не организационно-правовая форма получателя, а его нахождение на территории иностранного государства. Устанавливается обязанность операторов информировать уполномоченные органы власти о намерении трансграничной передачи ПД. В исключительных случаях, при наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может быть ограничена по решению уполномоченного органа власти.

Вводится экстерриториальность применения российского законодательства о ПД. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки ПД российских граждан на территории других государств.

Наряду с этим изменения вносятся и в Федеральный закон от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости».

Устанавливается, что ПД, содержащиеся в Едином государственном реестре недвижимости, могут быть предоставлены третьим лицам только с согласия физического лица – субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права.

В отсутствии указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться наличие договора, стороной которого являются заявитель и правообладатель, причинение ущерба личности или имуществу заявителя, наличие оснований для предъявления заявителем вещного иска к правообладателю и др. В этой связи корреспондирующие изменения также вносятся в Основы законодательства Российской Федерации о нотариате от 11 февраля 1993 года № 4462-1.

Указанные изменения в Федеральный закон «О государственной регистрации недвижимости» и Основы законодательства Российской Федерации о нотариате устраняют существующую правовую коллизию, когда операторы, с одной стороны, обязаны не раскрывать третьим лицам ПД без согласия их правообладателя, но, с другой, выдача ПД из ЕГРН осуществляется без каких-либо ограничений, отмечают авторы законопроекта.

В пояснительной записке отмечается, что анализ инцидентов последних лет, когда ПД граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в вопросе защищённости ПД от несанкционированного доступа неограниченного круга лиц.

В Интернете плодятся сервисы, занимающиеся противоправным оборотом ПД, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией, но и создает реальную угрозу для совершения преступлений и правонарушений.

Особую тревогу в текущих условиях вызывает сбор ПД в целях идентификации военнослужащих и сотрудников правоохранительных органов (т.н. «деаномизация»), что впрямую угрожает жизни и личной безопасности их самих, а также их родных.

Авторы документа особо подчёркивают, что подобные нелегальные сервисы преимущественно размещаются в иностранных сегментах Интернета, на который не распространяются требования российского законодательства в сфере ПД. В настоящее время, по данным Роскомнадзора, более 2,5 тысяч операторов ПД осуществляют трансграничную передачу ПД российских граждан в недружественные страны, где не обеспечивается их должная защита.

Напомним, что в мае президент подписал закон, согласно которому отказ в предоставлении потребителем своих ПД не может быть основанием для отказа в обслуживании.

Накануне Роскомнадзор сообщил, что 9135 обращений граждан на неправомерную обработку ПД поступило в ведомство с начала 2022 года. Наибольшее количество жалоб граждан поступило на действия кредитных учреждений, организаций ЖКХ, владельцев интернет-сайтов (в том числе социальные сети), коллекторских агентств.

Представитель регулятора, заместитель руководителя Роскомнадзора Милош Вагнер, законопроект поддержал и предложил ужесточить. По его словам, прекратить распространение ПД, которые постоянно вследствие утечек становятся доступны неограниченному кругу лиц, «практически невозможно без жёстких мер».

Увеличение штрафов для оператора ПД, который не уберёг данные своих клиентов, поддерживается – при условии введения понятных механизмов привлечения к ответственности, доказывания события правонарушения. Этого недостаточно. Следует, сказал представитель Роскомнадзора, проработать ужесточение ответственности, вплоть до введения уголовной, для тех, кто организует незаконный доступ к ПД, торговлю ими: «Нужно жёстко наказывать тех, кто формирует спрос на утечки данных, наживаясь на распространении ПД – только так можно прекратить вал мошенничества [с использованием краденых ПД]».

У Роскомнадзора есть возможность исполнить закон, если он будет принят. Это относится к фиксации инцидентов с утечками ПД, ведению реестра операторов ПД и учёту трансграничных потоков ПД.

Предложение Роскомнадзора о привлечении к ответственности тех, кто наживается на краденых ПД, поддержал председатель комитета Госдумы.

Законопроект поддержал, назвав «отвечающим общественному запросу», также представитель Росреестра. По его мнению, субъект ПД должен сам управлять правами доступа к свои данным в ЕГРН.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: