Данные навынос
Биометрию в России с оговорками запретили собирать принудительно
Принятые Госдумой в третьем чтении поправки к закону «О персональных данных» вводят более мягкие требования к бизнесу по сравнению с исходной версией. В частности, операторам не потребуется уведомлять Роскомнадзор при каждой передаче данных за рубеж. В то же время вводится запрет на принуждение россиян к сдаче биометрии. Впрочем, эта норма не поменяет существующей практики, полагают эксперты, а скорее носит характер заявления, чтобы успокоить граждан. По текущему законодательству оказание ряда услуг, например, дистанционное банковское обслуживание, все равно требует сдачи биометрии.
Госдума в третьем чтении приняла поправки к закону «О персональных данных», разработанные группой депутатов во главе с главой комитета Госдумы по информполитике Александром Хинштейном. Финальная версия поправок предусматривает, что операторы данных (де-факто это все юрлица) обязаны сообщать Роскомнадзору о ее утечках. Но если в первой версии документа бизнес должен был уведомлять ведомство в течение 24 часов после инцидента, то в финальной — после обнаружения. Также информацию нужно передавать в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Но из актуальной версии документа исключено требование о непрерывном взаимодействии с ГосСОПКА. Бизнес опасался, что это приведет к значительным расходам (см. “Ъ” от 21 июня).
Документ также вводит обязанность сообщать Роскомнадзору о передаче персональных данных россиян в другие страны. Причем ведомство может запретить передачу «в целях защиты конституционного строя, обеспечения обороны и безопасности государства». К третьему чтению добавилось еще одно основание для запрета на передачу за рубеж персональных данных россиян: для «защиты суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене».
Обновленная версия в большей степени устраивает бизнес, который исходно выступал резко против уведомления Роскомнадзора о трансграничной передаче личной информации.
В первоначальной версии поправки требовали сообщать ведомству при каждой передаче данных за рубеж, что делало невозможной покупку товаров в иностранных магазинах и заключение любых сделок (см. “Ъ” от 6 апреля). В текущей редакции есть возможность единовременно подать уведомления заранее по всем перспективным направлениям до вступления закона в силу в марте 2023 года, объясняет собеседник “Ъ” на рынке онлайн-ритейла.
Ключевые возражения по законопроекту учтены в текущей редакции, положения, имеющие драматические последствия для трансграничной онлайн-торговли, исключены, подтвердили в Ozon. В «Яндексе», VK, Aliexpress и Avito отказались от комментариев.
Также к третьему чтению в законопроекте появилась поправка, запрещающая принудительный сбор и обработку биометрических данных. Бизнес не сможет отказывать в обслуживании при нежелании клиента сдавать биометрические данные.
Но есть исключения для случаев, которые предусмотрены как действующей версией закона о персональных данных, так и другими законами. Например, в законе о персональных данных прописана возможность принудительного сбора биометрии с военных, призывников, подлежащих депортации, осужденных и некоторых госслужащих.
Поправкой вводится запрет на принуждение к сдаче биометрических данных, если того не требует непосредственное оказание услуг (например, дистанционное банковское обслуживание) или нормы других законов, пояснил глава Института исследований интернета Карен Казарян. Однако, подчеркивает он, на практике эта новая норма ничего не меняет и «скорее носит характер заявления, чтобы успокоить граждан».
Формально операторы и раньше не могли принудить субъектов к предоставлению согласий на обработку персональных данных или к заключению договоров, в рамках которых осуществляется их обработка, подтверждает руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев. По его словам, эта поправка может затруднить введение граждан в заблуждение относительного того, что сдача биометрии является обязательной для заключения договора с оператором.