К персональным данным много вопросов

22 июня был пос­ледним днем, ког­да при­нима­лись поп­равки в за­коноп­роект о вне­сении из­ме­нений в За­кон о пер­со­наль­ных дан­ных (ПДн). Биз­нес-объ­еди­нения ак­тивно выс­ту­пили про­тив ря­да но­вов­ве­дений, ко­торые вно­сят зна­читель­ные фи­нан­со­вые об­ре­мене­ния или ус­ложняют ряд биз­нес-про­цес­сов. При этом пре­тен­зии у субъ­ек­тов СМБ, круп­ных мар­кет­плей­сов, бан­ков и фи­нан­со­вых ком­па­ний раз­ные.

Накануне слушаний в Государственной Думе во втором чтении законопроекта №101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных", который был внесен в апреле текущего года группой депутатов, бизнес-объединения начали активную деятельность по корректировке ряда положений.

К примеру, по подсчетам "Опоры России", издержки компаний малого и среднего бизнеса (СМБ) составят 33 млрд руб. в год, а затраты на приобретение оборудования и ПО, использование которого станет обязательным – 1,7 трлн руб. Такие оценки приводятся в письме исполнительного директора "Опоры России" Андрея Шубина одному из авторов законопроекта №101234-8, председателю комитета Государственной Думы по информационной политике, информационным технологиям и связи Александру Хинштейну.

Эксперт по информационной безопасности компании "Крок" Анастасия Федорова согласна с тем, что изменения, вносимые в федеральный закон "О персональных данных" апрельским законопроектом №101234-8 в текущей редакции, действительно обязывает всех операторов ПДн обеспечить непрерывное взаимодействие с ГосСОПКА, что накладывает целый комплекс обязательств. "Однако, на эти требования необходимо смотреть не только в контексте использования СКЗИ, обеспечивающих защищенный канал связи, а такие сертифицированные средства на российском рынке представлены, а в более широком контексте, так как помимо обеспечения канала связи все операторы ПДн должны будут обеспечить непрерывное взаимодействие с аккредитованными центрами ГосСОПКА, выстроить процессы по постоянному мониторингу и управлению инцидентами ИБ, внедрить такие системы или получить их как услугу на аутсорсинге, что повлечет еще более существенные дополнительные расходы, помимо взаимодействия с Центрами в срок до 24 часов об инцидентах с ПДн необходимо будет уведомлять Роскомнадзор, и это помимо взаимодействия с центром ГосСОПКА", - отмечает она.

По мнению Анастасии Федоровой, обязательство иметь постоянное подключение к ГосСОПКА действительно является для СМБ серьезным обременением: "Стоит обратить внимание, что в соответствии с действующим законодательством все лица, задействованные в обработке ПДн являются операторами ПДн, то мы сталкиваемся с ситуацией, когда субъекты не только крупного и среднего, но и малого бизнеса должны будут подключаться к таким центрам, нанимать специалистов ИБ в штат и внедрять процессы и системы управления инцидентами ИБ. Это грозит преимущественным неисполнением предлагаемой нормы, и однозначно многократно возрастающей нагрузкой на центры ГосСОПКА и НКЦКИ. Очевидно, приемлемым решением было бы введение категорирования операторов ПДн по степеням их критичности в зависимости от объемов и типов обрабатываемых ПДн, субъектов ПДн и других критериев влияющих на последствия для субъектов ПДн в случае утечек данных и возложение обязанности по подключению к ГосСОПКА только критичных операторов".

Также серьезной критике подвергается новое требование об обязательном уведомлении регулятора о трансграничной передаче персональных данных.

"Предлагаемый в проектируемой редакции статьи 12 Закона № 152-ФЗ уведомительный порядок в отношении любой трансграничной передачи персональных данных существенно ужесточает порядок такой передачи персональных данных, в связи с чем представляется чрезмерным. Формально при направлении даже обычного электронного письма иностранному контрагенту за рубеж с корпоративной электронной почты осуществляется трансграничная передача персональных данных работника (как минимум, ФИО отправителя). Заранее определить точный перечень получателей такого рода информации и обобщить их в уведомлении в уполномоченный орган представляется не только крайне затруднительно, но и юридически бесполезным", - такой комментарий содержат предложения по корректировке законопроекта, внесенные Национальным советом финансового рынка (НСФР) и направленные также на имя Александра Хинштейна.

Эксперты НСФР нашли еще целый ряд шероховатостей, которые допускают неоднозначное толкование не в пользу оператора персональных данных (полный перечень данных предложений можно найти по адресу).

По мнению Анастасии Федоровой, в рассматриваемом законопроекте нормы по трансграничной передаче были полностью изменены: "Действительно видится, что предлагаемая разрешительная система может привести к затруднениям в передаче персональных данных и сложностям в товарообмене. Среди рисков хочется подсветить, что помимо получения отказа в возможности передачи ПДн, на операторов ПДн ляжет обязанность по заполнению разрешений на трансграничную передачу, требующих детального изучения законодательных норм по защите ПДн страны получателя, применяемых стороной получателем мер по защите и уничтожению ПДн и т.п. данных. Мера в контексте текущих событий выглядит оправданной, однако явно требуется детальная проработка критериев отказа. Также хочется отметить, что в предлагаемой норме отсутствует получение согласия субъекта на трансграничную передачу ПДн, что снижает уровень информированности субъектов ПДн о распространении их ПДн".

В Роскомнадзоре с оценками издержек, которые несет введение уведомлений о трансграничной передаче персональных данных не согласны. "Защита персональных данных российских граждан при трансграничной передаче является частью суверенитета страны. Законопроект направлен на создание правовых оснований и механизмов обеспечения данной защиты. Реализация законопроекта не является затратной и обременительной для бизнеса", - ответили ComNews в пресс-службе Роскомнадзора.

Также пресс-служба регулятора напомнила, что законопроект развивает уже действующие нормы закона о защите ПД при передаче за рубеж, допускающего трансграничную передачу только если оператор предварительно убедился в безопасности такой передачи: "Оператор персональных данных должен уведомлять Роскомнадзор один раз для каждой страны, в которую передает, а не о каждой транзакции. Более того, законопроект не запрещает передачу персональных данных во многие страны мира на время рассмотрения уведомления. Именно поэтому речь об уведомлении ведомства, а не получении разрешения. Это касается стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (46 стран), а также стран, которые включены Роскомнадзором в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных (29 стран)".​

"Мы планируем провести целую серию встреч с бизнесом для обсуждения и уточнения положений законопроекта. Цель – найти механизм максимально необременительный для бизнеса, который не создаст дополнительных значимых издержек для операторов персональных данных", - такой комментарий в ответ на запрос ComNews дала пресс-служба Минцифры.

Яков Шпунт

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Регулирование

Ключевые слова: регулирование, персональные данные