Загрузка...
20.04.2022
5 мин. на чтение

В Госдуму внесён законопроект об усилении защиты прав субъектов персональных данных

en

Юридическая компания «Пепеляев Групп» сообщает, что 6 апреля 2022 г. в Госдуму на рассмотрение поступил законопроект [1], предусматривающий внесение поправок в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Законопроект). Целью законопроекта является усиление защиты прав российских граждан на неприкосновенность частной жизни.

Проблема защищенности персональных данных от несанкционированного доступа со стороны неограниченного круга лиц имеет высокую актуальность. В последнее время персональные данные российских граждан часто попадают в открытый доступ. В соответствии с Пояснительной запиской к Законопроекту широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан из различных баз данных. Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования российского законодательства о персональных данных. По данным Роскомнадзора, более 2,5 тыс. операторов персональных данных осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны.

В Пояснительной записке к Законопроекту также отмечается, что существующих законодательных механизмов недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных.   

Введение принципа экстерриториальности действия № 152-ФЗ

Предлагается распространить положения Закона № 152-ФЗ на действия с персональными данными граждан РФ, совершаемые иностранными органами власти, юридическими или физическими лицами. Предусматривается возможность вмешательства уполномоченных органов власти РФ в вопросы обработки персональных данных российских граждан на территории других государств.

Уточнение требований к согласию на обработку персональных данных

В настоящее время согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 152-ФЗ). Законопроектом предлагается дополнить норму требованием о предметности и однозначности согласия на обработку персональных данных.

Введение обязанности операторов при допущении утечек персональных данных

Предлагается ввести обязанность операторов обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, предоставление, распространение, передачу персональных данных.

Помимо этого, предусматривается обязанность операторов по уведомлению Роскомнадзора о фактах неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов. Такое уведомление должно осуществляться в течение 24 часов с момента наступления инцидента. В уведомлении должна быть указана информация о причинах наступления инцидента, предполагаемом вреде, нанесенном правам субъектов, о лицах, допустивших неправомерный или случайный доступ к персональным данным, а также о принятых мерах по устранению последствий.
Для учета информации Роскомнадзор будет вести реестр учета инцидентов с неправомерной обработкой персональных данных.

Регламентация статуса лица, осуществляющего обработку персональных данных по поручению оператора

Регламентируется статус лица, осуществляющего обработку персональных данных по поручению оператора. В частности, вводится определение такого лица в качестве государственного органа, муниципального органа, юридического или физического лица, осуществляющего обработку персональных данных по поручению оператора с согласия субъекта, если иное не предусмотрено Законом № 152-ФЗ.

Законопроект конкретизирует, что лицо, осуществляющее обработку персональных данных, не определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с такими данными.

Оператор сможет давать поручение лицу, осуществляющему обработку персональных данных, без согласия субъекта, как это следует из текущей редакции ч. 3 ст. 6 152-ФЗ. При этом в поручении должен быть определен перечень обрабатываемых персональных данных. Лицо, осуществляющее обработку персональных данных, будет обязано соблюдать требования о локализации баз данных на территории РФ, а также исполнять обязанность по уведомлению оператора об инцидентах, влекущих нарушение прав субъектов.

Уточнение порядка трансграничной передачи персональных данных

Дополняется понятие трансграничной передачи персональных данных. Законопроект предусматривает, что при такой передаче определяющим является не организационно-правовая форма получателя данных, а его нахождение на территории иностранного государства.

Законопроект предлагает ввести обязанность операторов по отдельному уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу. Такая передача может быть запрещена или ограничена по решению уполномоченного органа в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, а также в целях защиты экономических и финансовых интересов РФ.

Ограничения в части обработки биометрических персональных данных

Вводится запрет на обработку биометрических персональных данных несовершеннолетних лиц в возрасте до 18 лет, за исключением случаев, предусмотренных ч. 2 ст. 11 152-ФЗ (реализация международных договоров о реадмиссии, осуществление правосудия и исполнение судебных актов, проведение обязательной государственной дактилоскопической регистрации, а также иные случаи, предусмотренные законодательством РФ).

Оператор не сможет отказывать гражданам в оказании услуг при отказе предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если такое согласие не является обязательным. В соответствии с Законопроектом предоставление биометрических персональных данных не может быть обязательным, если иное не следует из Закона № 152-ФЗ.

Существенное сокращение сроков на исполнение запросов Роскомнадзора

В настоящее время операторы имеют возможность исполнять запросы Роскомнадзора или субъекта по вопросам, связанным с незаконной обработкой персональных данных или получением информации об обработке персональных данных, в течение 30 дней с даты их получения. Предлагается сократить срок для исполнения таких запросов до 10 рабочих дней.

О чем подумать, что сделать

Несмотря на то, что Законопроект только внесен в Госдуму РФ, организациям, осуществляющим обработку персональных данных, уже сейчас целесообразно предпринять шаги по приведению деятельности в соответствие с готовящимися изменениями законодательства в области персональных данных. Заблаговременное выявление и устранение нарушений позволит снизить правовые риски, возможные дополнительные расходы на устранение последствий, а также избежать репутационных потерь.

Помощь консультанта

Специалисты «Пепеляев Групп» осуществляют постоянный мониторинг изменений законодательства в области персональных данных и обладают опытом всесторонней поддержки бизнеса по вопросам соблюдения законодательства, выявлению и оценке правовых рисков, а также разработке бизнес-ориентированных предложений по минимизации выявленных рисков.

В спектр услуг «Пепеляев Групп» входят:

  • консалтинг по вопросам соблюдения требований законодательства в области персональных данных;

  • разработка необходимых документов по вопросам обработки персональных данных;

  • аудит организационных и технических мер защиты персональных данных;

  • представление интересов в судах по спорам, связанным с обработкой персональных данных;

  • digital-услуга для упрощения работы по обновлению перечней лиц с доступом к персональным данным.


[1] Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных».


Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Вас также может заинтересовать

skill

03.04.2024

Legal Drinks. Антон Никифоров в гостях у Романа Бевзенко: о карьере, о жизни, о налоговом праве и др

В рамках проекта LEGAL DRINKS Роман Бевзенко берет интервью у Антона Никифорова партнера «Пепеляев Групп».

Смотреть

06.05.2024

Персональные данные. Дайджест за 16-30 апреля 2024 г.

Главные новости: В Госдуму внесли законопроект об отзыве согласия на обработку персональных данных через сайты;&nbs...

18.04.2024

Персональные данные. Дайджест за 1-15 апреля 2024 г.

Главные новости: кабмин предложил уточнить штрафы за нарушение порядка обработки персональных данных; банкам предло...

03.04.2024

Персональные данные. Дайджест за 16–31 марта 2024 г.

Главные новости: внесены изменения в порядок использования Единой биометрической системы; регистрация граждан по месту п...

18.03.2024

Персональные данные. Дайджест за 1–15 марта 2024 г.

Главные новости: в РФ запустят сервис дистанционного участия в судебных заседаниях с использованием биометрии; предлагае...