Персональные данные. Дайджест за 1–15 октября 2023 г.

Принятые акты

Правительство Российской Федерации допустило использование биометрических персональных данных при реализации образовательных программ с помощью дистанционных образовательных технологий

Речь идет о Постановлении Правительства Российской Федерации от 11.10.2023 № 1678

«Об утверждении Правил применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ».

При проведении учебных занятий, практик, промежуточной аттестации, текущего контроля успеваемости и итоговой аттестации в ходе реализации основных и дополнительных образовательных программ начального общего, основного общего образования, образовательных программ среднего, высшего и дополнительного профессионального образования допускается применение дистанционных образовательных технологий.

В частности, предполагается использование информационных систем ГИС «Современная цифровая образовательная среда», ФГИС «Единая система идентификации и аутентификации», ГИС «Единая биометрическая система» и «других информационных систем, обеспечивающих идентификацию и аутентификацию личности».

Обработка биометрических данных обучающегося в указанных системах допускается с его согласия или с согласия его законного представителя и осуществляется в целях проведения промежуточной аттестации и текущего контроля успеваемости.

Помимо этого, в указанных информационных системах формируется цифровое индивидуальное электронное портфолио обучающегося, куда включаются сведения о ФИО, СНИЛС, форме обучения, уровне образования, сведения о текущей успеваемости и результатах промежуточного и итогового контроля и другие сведения.

Постановление вступает в силу 1 сентября 2024 года.

12.10.2023. Официальный интернет-портал правовой информации

Законопроекты, законотворчество

ФСБ РФ предложила расширить список данных, которые владельцы сайтов и сервисов из реестра организаторов распространения информации должны хранить и предоставлять правоохранительным органам

Речь идет о проекте постановления Правительства Российской Федерации «О внесении изменений в Правила хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации».

Состав информации, подлежащей хранению организатором распространения информации в сети «Интернет», расширится за счет предоставления правоохранительным органам сведений о геолокации пользователя, если он осуществляет пользование коммуникационным сервисом без регистрации и авторизации, и средствах платежа при осуществлении транзакций.

Ранее состав информации, подлежащей хранению организатором распространения информации в сети «Интернет», был определен Постановлением Правительства Российской Федерации от 23.09.2020 № 1526.

03.10.2023. Федеральный портал проектов нормативных правовых актов

Минцифры разработало правила использования «цифрового паспорта»

Ранее вступил в силу Указ Президента Российской Федерации от 18.09.2023 № 695 «О представлении сведений, содержащихся в документах, удостоверяющих личность гражданина Российской Федерации, с использованием информационных технологий».

Во исполнение данного Указа Минцифры разработало правилаПроект постановления Правительства Российской Федерации «О применении мобильного приложения федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" в целях представления гражданами Российской Федерации сведений, содержащихся в документах, удостоверяющих личность гражданина Российской Федерации, либо в иных документах, выданных гражданам Российской Федерации государственными органами Российской Федерации, и о внесении изменений в постановление Правительства Российской Федерации от 15 июня 2022 г. № 1067 "О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы"»
 использования «цифрового паспорта». Министерство уточнило перечень документов, сведения из которых могут быть представлены с помощью мобильного приложения федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» в виде двухмерного штрихового кода (QR-код) и (или) одноразового числового кода, порядок использования мобильного приложения и обработки в нем данных.

На данный момент сведения в электронном виде могут быть представлены только из паспорта гражданина Российской Федерации при соблюдении следующих условий:

• наличие подтвержденной учетной записи в ФГИС «Единый портал государственных и муниципальных услуг (функций)»;

• размещение биометрических персональных данных (фотографии, сделанной в режиме реального времени) в Единой биометрической системе и в мобильной приложении;

• личное присутствие гражданина при предъявлении «цифрового паспорта» в установленных случаях.

Ситуации, когда можно использовать мобильное приложение, следующие:

• подтверждение возраста совершеннолетнего при покупке алкогольной продукции, табачной продукции или никотинсодержащей продукции, кальянов и устройств для потребления никотинсодержащей продукции;
• подтверждение возраста посетителя музея и (или) зрелищного мероприятия;
• посадка в поезд дальнего следования;
• установление личности гражданина оператором связи в целях осуществления услуг связи;
• установление личности гражданина при оказании государственных (муниципальных) услуг;
• установление личности клиента в организациях финансового рынка;
• оформление доступа на территорию организаций за исключением государственных органов Российской Федерации, органов местного самоуправления, организаций оборонно-промышленного, атомного энергопромышленного, ядерного, оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры Российской Федерации, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, дошкольных образовательных организаций и общеобразовательных организаций;
• установление личности при заселении в гостиницу;
• установление личности в медицинских организациях, при условии, что ранее такое лицо было принято на персонифицированный учет в данной организации;
• установление личности отправителя или адресата при приеме или выдаче почтовых отправлений.

Мероприятия по введению «цифрового паспорта» планируется провести в несколько этапов. По проекту в одних ситуациях использовать мобильное приложение для подтверждения личности (возраста) можно с момента опубликования постановления, для других ситуаций установлены отложенные сроки.

Публичное обсуждение проекта завершится 2 ноября 2023 года.

06.10.2023. Федеральный портал проектов нормативных правовых актов

Максимальный размер платы, выплачиваемой банкам и иным организациям, осуществившим размещение биометрических персональных данных в ЕБС, отменяется

Пунктом 1 части 1 статьи 25 Федерального закона от 29 декабря 2022 г. № 572-ФЗФедеральный закон от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»
 признана утратившей силу статья 141 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в соответствии с которой был принят приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 29 июня 2021 г. № 662 «Об установлении максимального размера платы, выплачиваемой банкам и иным организациям, осуществившим размещение биометрических персональных данных физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».

Нового положения о выплате банкам и иным организациям, осуществившим размещение биометрических персональных данных физического лица в единой биометрической системе, платы и установлении Минцифры России по согласованию с Центральным банком Российской Федерации максимального размера такой платы Федеральным законом № 572-ФЗ не предусмотрено.

В этой связи Минцифры России подготовлен проект приказа «О признании утратившим силу приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 29 июня 2021 г. № 662 ‎«Об установлении максимального размера платы, выплачиваемой банкам и иным организациям, осуществившим размещение биометрических персональных данных физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».

10.10.2023. Федеральный портал проектов нормативных правовых актов

Новости и события

Александр Хинштейн разъяснил, какие VPN будут блокировать с 1 марта 2024 года

В издании Парламентской газеты со ссылкой на мнение Александра Хинштейна, председателя комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи, пишут: «Роскомнадзор уже сейчас наделен правом блокировать VPN-сервисы, что и происходит на регулярной основе. Вероятно, речь идет совсем о другой законодательной новации: ограничении поисковой выдачи тех VPN, которые нарушают закон (не фильтруют запрещенную информацию)».

То есть, с 1 марта будет ограничиваться поисковая выдача предоставляющих доступ к запрещенным сайтам VPN ресурсам.

В Роскомнадзоре, в свою очередь, напомнили, что по закону в стране запрещено распространение сведений о способах и методах обхода блокировок доступа к противоправному контенту.

03.10.2023. Парламентская газета

Законодатели считают, что действующих штрафов за утечку персональных данных недостаточно

Вопрос об усилении ответственности за утечку личной информации волнует не только бизнес и государство, но и граждан, – считает Александр Хинштейн, председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи.

«Мне задают много вопросов о законопроекте об оборотных штрафах. Конечно, сегодняшние санкции в отношении операторов персональных данных не отражают масштаб проблемы и не стимулируют бизнес вкладываться в свою информационную безопасность», — отметил парламентарий.

Проблема утечек напрямую связана с телефонными мошенниками, полагает он. «С ними ведется последовательная борьба на государственном уровне — Президент РФ подписал законопроект об увеличении с 7,5 тысячи до одного миллиона рублей размера госпошлины за повторную выдачу лицензии на оказание услуг связи. Закон вступит в силу 1 января 2024 года и позволит сократить число недобросовестных операторов, допускающих огромное количество случаев телефонного мошенничества», — заключил Хинштейн. 

03.10.2023. Парламентская газета

«Умные устройства» предложили локализовать в Российской Федерации

По словам заместителя председателя IT-комитета Государственной Думы РФ Антона Горелкина, то, с чем могут столкнуться пользователи устройств «умного дома» — вполне прогнозируемая история. «Покупая современную технику, нужно понимать, где физически будет находиться сервер, обслуживающий ваше устройство, и какие проблемы это может создать. Очевидно, что использование зарубежных программно-аппаратных комплексов при строительстве многоквартирных домов создает критические риски. Те же самые подходы применимы и на уровне потребительского рынка». Горелкин утверждает: «Требовать от производителей раскрывать информацию о том, где находится обслуживающий сервер, какие данные собирает то или иное устройство, в каких объемах их хранит и передает, было бы правильно. Это приведет к локализации соответствующих экосистем и в конечном счете повысит их скорость работы и надежность».

Вариант сделать зарубежную технику безопаснее — устанавливать на нее российское программное обеспечение. В 2021 году в России приняли закон об обязательной предустановке российского ПО на смартфоны и умные телевизоры, а также ввели административную ответственность для тех, кто этого не делает, напомнил глава Комитета Госдумы по промышленности и торговле Владимир Гутенев. Возможно, список устройств для предустановки следует расширить, предположил он.

05.10.2023. Парламентская газета

При Минцифры создают рабочую группу по разработке Цифрового кодекса

Рабочая группа по разработке Цифрового кодекса, создаваемая при Минцифры, займется систематизацией отраслевого законодательства в таких областях, как Интернет, СМИ, связь, информация, персональные данные. Об этом в соцсетях сообщил председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн.

«Сегодняшнее отраслевое законодательство — не только устаревшее, но и разрозненное. Нам то и дело его приходится править», — отметил парламентарий.  Приняв Цифровой кодекс, можно будет провести сквозную переработку отраслевых законов. Вместе с тем в своде впервые можно будет прописать права и обязанности всех сторон: государства, отрасли, пользователей.

«Намерен самым активным образом участвовать в деятельности рабочей группы Минцифры, куда уже получил приглашение войти», — сообщил Хинштейн.

Цифровой кодекс является частью стратегии развития отрасли связи РФ на период до 2035 года. «Сегодня цифровую среду у нас регулируют не менее десяти различных федеральных законов, причем довольно немолодых. Закон о связи — 2003 год, два других — 2006 год, а некоторые были вообще приняты в начале 90-х», — рассказал заместитель председателя Комитета Совета Федерации по экономической политике Константин Долгов на заседании палаты регионов 25 сентября.

09.10.2023. Парламентская газета

Департамент транспорта Москвы предложил ввести штрафы для агрегаторов такси за передачу сведений, содержащих персональные данные, за пределы РФ

Такое предложение содержится в письме заместителя мэра столицы и главы дептранса Максима Ликсутова в адрес председателя комитета Госдумы по госстроительству и законодательству Павла Крашенинникова. Издание «Известия» ознакомились с его копией.

Речь идет о поправках в КоАП РФ, которые обсуждаются в рамках подготовки ко второму чтению законопроекта об ответственности агрегаторов за нарушение принятого в конце 2022 года нового закона о такси. Сам проект был внесен в Государственную Думу РФ еще в 2019-м группой депутатов и принят в первом чтении этим летом. Сейчас он предусматривает штрафы только за нарушение порядка обработки информации о заказе такси и за передачу заказа лицам, не имеющим права на осуществление таких перевозок (штрафы до 500 тыс. рублей).

«Предлагается в статье 11.14.5 КоАП РФ внести изменения, предусматривающие ответственность за передачу сведений, содержащих персональные данные водителей легковых такси, фрахтователей и пассажиров, за пределы территории Российской Федерации», — говорится в письме Максима Ликсутова. Запрет на передачу таких данных содержится в ч. 4 ст. 19 принятого нового закона.

10.10.2023. Известия

Роскомнадзор намерен обязать операторов понятно писать об обработке персональных данных

Любая информация, касающаяся обработки персональных данных, должны составляться в доступной для пользователей форме. Законопроект, в котором будет прописана такая норма для операторов, уже прорабатывается Центром правовой помощи гражданам в цифровой среде совместно с Роскомнадзором, сообщила директор центра Людмила Куровская.

«Любая информация или сообщение в отношении обработки персональных данных должны быть составлены в понятной с первого прочтения и доступной для пользователей форме на русском языке», - сказала она на семинаре-совещании «Цифровая идентификация личности: вопросы правового регулирования» в Совете Федерации.

По ее словам, проект закона, который предусматривает соответствующее требование к операторам, проработан с сотрудниками Роскомнадзора, в чьем ведении находится центр.

Предлагаемая поправка в законодательство обусловлена тем, что такие документы содержат сложные, объемные формулировки, а также тем, что в некоторых случаях при обработке персональных данных иностранные операторы и их дочерние организации не переводят на русский язык документы, определяющие политику оператора в области персональных данных, пояснила Куровская.

12.10.2023. ТАСС

Штрафы от 6 млн до 18 млн рублей грозят 12 зарубежным компаниям за отказ локализовать данные граждан РФ

Роскомнадзор составил административные протоколы по статье об отказе локализовать данные россиян на территории РФ в отношении 12 зарубежных компаний, им грозят штрафы на сумму от 6 млн до 18 млн рублей. Об этом ТАСС сообщили в судебном участке мирового судьи номер 422.

«В суд участка поступили протоколы в отношении Coinbase Ireland Limited, AIDA International, United Parcel Service Inc., Spotify AB, Airbnb, Inc., OOO Agoda Company Pte Ltd, Ookla LLC, Google LLC, Molchanovs Pte Ltd, Proxima Beta Pte Ltd, Freelancer International Pty Limited, MyHeritage Ltd, составленные Роскомнадзором по статьям КоАП РФ, предусмотренным за отказ локализовать личные данные россиян в РФ», - пояснили в суде.

Там уточнили, что если компании привлекаются за отказ локализовать данные россиян на территории РФ впервые (ч. 8 ст. 13.11 КоАП РФ), им грозят штрафы до 6 млн рублей. Однако в отношении Ookla, Google, Spotify, Airbnb, United Parcel Service составлены протоколы за повторное нарушение оператором, не выполнившим при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч. 9 ст. 13.11 КоАП РФ). Им грозит штраф на сумму до 18 млн рублей.

В суде добавили, что заседания по этим материалам назначены на 16 октября и 9 ноября.

12.10.2023. ТАСС

Ассоциация больших данных предложила исключить «антифрод» из-под действия закона о ЕБС

Ассоциация больших данных (АБД) предложила изменить законодательство о Единой биометрической системе (ЕБС), отменив необходимость направлять данные, используемые в работе механизмов противодействия хищению денежных средств («антифрод»), в систему. Об этом сообщил руководитель управления по взаимодействию с органами государственной власти Тинькофф-банка, представитель АБД Михаил Быковский на семинаре-совещании в Совете Федерации.

По словам Быковского, ЕБС должна выполнять функции аутентификации и идентификации при совершении юридически значимых действий: заключении договора, выдачи кредита, открытии расчетного счета. «Тут биометрия нужна, бесспорно, мы будем подключаться к ЕБС, все наши члены будут получать аккредитацию. Но когда речь идет об «антифроде», мы сталкиваемся с негибкостью регулирования. <...> Нет смысла эту часть относить именно под биометрию, потому что там нет таких рисков, как при заключении договора», - заявил член АБД.

Он отметил, что риски утечек баз данных, которые используются в системах «антифрод», есть, однако эти данные нельзя будет использовать, поскольку в доступе окажутся только фотографии, а не код, используемые в ЕБС.

Также Быковский заявил, что при нынешнем законодательстве процедуры «антифрод», скорее всего, придется отключить. «База [клиентов «антифрода»] будет крайне маленькая, это будет крайне дорого, и мошенники согласие на обработку биометрии не дадут», - перечислил причины эксперт.

Сокращение базы клиентов, которые защищены при помощи систем «антифрод» связано с двумя факторами. Во-первых, многие клиенты готовы делиться данными с конкретными организациями, но при этом отказываются от их отправки в ЕБС, что приводит к сокращению базы клиентов на 10%. Во-вторых, большинство членов АБД находятся под санкциями, в связи с чем они не могут обновлять свои приложения в App Store, и, соответственно, не могут защитить канал коммуникации с клиентами при использовании фотографий для подтверждения транзакций. По этой причине еще 35% клиентов, которые пользуются устройствами на iOS, «выпадают из-под защиты», отметил Быковский.

Эксперт также подчеркнул, что установка систем «антифрод» стоит очень дорого, но при сравнении с транзакциями, которые оказались защищенными благодаря им, выглядят невыгодными и неэффективными.

12.10.2023. ТАСС

В Совете Федерации рассматривают возможность изменения порядка дачи согласия на обработку персональных данных

В Совете Федерации (СФ) обсуждают идею разделения пользовательского соглашения и согласия на обработку персональных данных. Такую инициативу сенаторы комитета по конституционному законодательству и госстроительству рассмотрели совместно с советом по развитию цифровой экономики в рамках совещания «Цифровая идентичность личности: вопросы правового регулирования».

«Сейчас гражданин, единожды посетив сайт, уведомляется его владельцем о том, что он принимает условия пользовательского соглашения, в которое автоматически заложено согласие на обработку персональных данных», – пояснила на заседании директор Центра правовой помощи гражданам в цифровой среде Людмила Куровская. В связи с этим она предлагает рассматривать пользовательское соглашение как «соглашение между субъектами персональных данных и оператором по определению прав и обязанностей, связанных с использованием информационных ресурсов». Оно не будет включать в себя согласие на обработку персональных данных.

Также со стороны Центра правовой помощи гражданам в цифровой среде поступило предложение ввести отдельное согласие на обработку персональных данных, без которого их обработка будет невозможна (поправки необходимы в п. 1 ст. 9 закона о персональных данных). Бездействие не должно считаться согласием на обработку персональных данных, добавила Куровская. Если обработка персональных данных не будет соответствовать предмету договора, то согласие на их последующую обработку следует признавать незаконным. Любая информация об обработке персональных данных должна быть хорошо читаема и понятна, что предполагает размещение такой информации на национальных языках субъектов РФ.

Роскомнадзор поддерживает изменения, которые могут наделить пользователя большими правами для управления своими данными, заявил замруководителя ведомства Милош Вагнер. «Есть некоторая диспропорция в том, что войти в эти отношения [с оператором] можно в два клика <...> а чтобы реализовать свои права нужно погрузиться в детали договоров». Вдобавок к перечисленным предложениям Вагнер предложил разработать принцип активного согласия взамен согласия по умолчанию, при котором «негласным» образом по истории посещения собираются данные.

13.10.2023. Ведомости