Несмотря на постоянное совершенствование законодательных норм по работе с персональными данными, громкие утечки все равно происходят. В марте в сети оказалась информация о клиентах «Яндекс Еды», и все желающие смогли узнать, сколько денег на еду тратит его сосед. А в начале мая данные утекли из «Гемотеста». В открытом доступе оказались не только имена, фамилии, адреса и номера телефонов клиентов лаборатории, но и их полные истории болезни, а также сведения о тестах на ВИЧ. Подобные утечки случаются регулярно и в последнее время все чаще, поэтому власти вынуждены принимать все новые меры, чтобы предотвратить утечки и сливы.
20 мая Владимир Путин заявил: «Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в частности за счет более строгого контроля правил использования служебной техники, коммуникаций, связи». А 24 мая Госдума приняла в первом чтении новый пакет поправок в закон «О персональных данных». Положения законопроекта направлены на определение порядка взаимодействия бизнеса с государственными органами относительно персональных данных. Еще одна цель поправок — обеспечить экстерриториальную защиту информации о российских гражданах.
Например, поправки предусматривают, что клиенту нельзя отказать в предоставлении услуг, если он не хочет давать согласие на обработку персональных данных в случаях, когда необходимости в них нет. Компаниям станет сложнее манипулировать потребителями, которым больше не придется предоставлять свои данные в обмен, например, на участие в бонусной программе, объясняет смысл запрета советник Анастасия Сивицкая.
Законопроект направлен на защиту прав субъектов персональных данных, поэтому он неизбежно ужесточит регулирование для бизнеса, комментирует руководитель цифровой группы Полина Бардина. Большая часть изменений касается взаимодействия бизнеса с Роскомнадзором и другими ведомствами.
За границу — с разрешения властей
Руководитель практики интеллектуальной собственности и персональных данных юридической фирмы Ирина Ахмедова отмечает важность новых правил трансграничной передачи персональных данных. Их оператор должен будет заранее уведомить Роскомнадзор о каждой такой передаче. Сейчас в ведомство нужно сообщать только о стране, в которую передают информацию. По новым правилам нужно будет раскрывать контактные сведения получателя данных и сведения о мерах по защите передаваемых данных.
Кроме того, в уведомлении необходимо будет указать информацию о правовом регулировании в области персональных данных иностранного государства, под чьей юрисдикцией находится получатель, если предполагается передача данных на территорию страны, не обеспечивающей нужного уровня защиты. Это требование обяжет российских операторов привлекать юристов, разбирающихся в законодательстве зарубежных стран, или даже зарубежных юристов, что обернется значительными тратами, объясняет Ахмедова.
Эти поправки серьезным образом усложнят жизнь бизнеса: теперь перед каждым случаем трансграничной передачи новому лицу необходимо будет заранее уведомить Роскомнадзор, а также согласовать с ведомством принимаемые меры защиты.
Более того, Роскомнадзор может просто запретить передавать данные за рубеж, если увидит необходимость защиты нравственности, здоровья и интересов граждан, а также «основ конституционного строя Российской Федерации и безопасности государства».
Законопроект дает РКН 30 дней на рассмотрение уведомлений. То есть деятельность компаний на это время «замораживается», объясняет Ахмедова. Эксперт ожидает, что страдать от этого будут как операторы, так и субъекты персональных данных, с согласия и в интересах которых необходима передача.
Хотя формально порядок уведомительный, в практике применения этих норм стоит ожидать неприятных сюрпризов, уверен руководитель практики «Медиаправо» юридической фирмы Михаил Хохолков.
Эти поправки станут актуальными для IT-компаний, у которых часть штата разработчиков работает за пределами России, отмечает юрист. Ахмедова предупреждает об усложнении работы, которая и вовсе может быть заблокирована.
Информаторы ФСБ
Все операторы должны будут подключиться к системе ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и информировать ФСБ обо всех инцидентах, повлекших утечку персональных данных. «Это предложение вызвало наибольшую волну критики со стороны бизнеса. Взаимодействие с системой означает не только дополнительные траты для операторов, но и повышенную нагрузку на функциональность системы», — комментирует Бардина. С критикой инициативы выступила Российская ассоциация электронных коммуникаций (РАЭК), в которую входят «Ростелеком», VK, «Лаборатория Касперского», Samsung, Microsoft и другие. В организации заявили о существенных затратах на строительство защищенных каналов связи со средствами криптографической защиты.
Эта инициатива не нова, напоминает Ахмедова. Ее придумали еще в 2020-м, но тогда от идеи отказались в процессе принятия законопроекта № 107043-1. Тогда помогло возмущение бизнеса, и подключение стало носить рекомендательный характер. Теперь к идее вернулись, а законопроект уже поддержан Минцифры, поэтому, по оценке юриста, высока вероятность, что на этот раз нормы все-таки примут и мнение бизнеса учитывать не будут. Хотя он, как и раньше, против.
Уже стали традиционными вебинары с участием специалистов РКН, которые излагают мнения о предстоящих изменениях в законе «О персональных данных». Думаю, и в этот раз правоприменительная практика будет формироваться по «вебинарному праву».
Закрытый ЕГРН
Персональные данные из Единого государственного реестра недвижимости (ЕГРН) будут предоставляться третьим лицам только с согласия субъекта таких данных либо по запросу нотариуса, действующего на основании письменного заявления заинтересованного лица «в целях защиты его прав и законных интересов». У владельца недвижимости остается право раскрыть свои персональные данные всем желающим: для этого ему необходимо обратиться в Росреестр с соответствующим заявлением.
Новый порядок получения данных из ЕГРН хоть и позволит ограничить получение таких сведений третьими лицами, но не защитит от взломов и утечек, отмечает старший юрист адвокатского бюро Вера Зотова. Как и не обеспечит удаление персональных данных, уже попавших в открытый доступ.
Теперь приобретаемую недвижимость будет сложнее проверить на предмет различных обременений, что плохо скажется на сделках с ней, уверена Сивицкая. По мнению юриста, поправки нарушают принципы действия реестра, который должен быть открытым и публично достоверным. Получение сведений из реестра затруднится, а в цепочке действий неизбежно будет задействован нотариус.
✔ Операторов обяжут в течение 10, а не 30 дней отвечать на запросы, связанные с незаконной обработкой персональных данных.
✔ У граждан появится право требовать прекратить ее обработку — операторам дают на это месяц.
✔ Компании будут обязаны уведомлять РКН об утечках в течение 24 часов. В этот срок необходимо установить причину инцидента, оценить предполагаемый вред и уведомить регулятора о мерах по устранению последствий.
✔ Российское законодательство о персональных данных по задумке авторов законопроекта должно действовать и за пределами России. Законопроект предусматривает возможность вмешательства уполномоченных органов власти в вопросы обработки персданных российских граждан на территории других государств. Как это будет реализовано — непонятно.
✔ Сокращается перечень случаев, когда не требуется уведомлять Роскомнадзора об обработке персданных. «Это, по сути, приведет к тому, что все без исключения компании будут обязаны направлять такое уведомление», — предупреждает партнер, руководитель Санкт-Петербургского офиса
Екатерина Смирнова.
Утечки продолжатся
Новые положения способны ограничить сбор персональных данных и облегчить устранение последствий утечек, уверена Зотова. В то же время такие положения в меньшей степени направлены на ликвидацию причин и предотвращение самих таких ситуаций.
Дело в том, что вопросы безопасности персональных данных скорее технические и социальные, чем правовые. Как показывает практика, чаще всего сливы случаются из-за действий конкретных сотрудников компании, которые хотят продать данные на стороне, добавляет Бардина. Кроме того, все чаще случаются кибератаки на инфраструктуру операторов. Закон может только усилить ответственность за неправомерную обработку данных, но не предотвратить утечки, отмечает Хохолков.
«Правовые методы позволяют своевременно привести деятельность операторов в соответствие требованиям законодательства и если не устранить риск утечки полностью, то как минимум снизить негативные последствия для операторов и субъектов персональных данных в будущем», — комментирует Бардина.
Вряд ли можно говорить о ситуации, когда мы полностью исключим утечку данных каким-либо способом. Это все равно что мечтать, что усовершенствование уголовного законодательства полностью исключит преступность.
В правовом поле бороться с утечками сложно, соглашается Сивицкая. Способы, который действительно работают, ≈ ужесточение технических требований и наказаний. «Депутаты неоднократно поддерживали оборотные штрафы. Думаю, что такое ужесточение не за горами», — напоминает Хохолков.
После принятия поправок вряд ли можно говорить о новых возможностях для предотвращения утечек, считает Ахмедова. Разве что подключение к ГосСОПКА обяжет операторов приобрести технические средства защиты персональных данных, что позволит поднять уровень защиты.
Смирнова уверена, поправки скорее создадут дополнительную нагрузку на бизнес, вызванную необходимостью соблюдения многочисленных бюрократических процедур: зачастую трудновыполнимых, затратных и излишних. Не совсем ясно, как дополнительное уведомление оператора о трансграничной передаче данных поможет не допустить утечку, отмечает эксперт, а полномочия Роскомнадзора, который сможет по своему усмотрению запретить такую передачу, и вовсе создает угрозу развитию интернет-бизнеса.