Депутаты Госдумы хотят значительно ужесточить контроль за персональными данными россиян: обязать организации, работающие с такими данными, которых в России почти 440 тыс., подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также информировать органы власти о любых утечках личной информации. Для трансграничной передачи потребуется разрешение Роскомнадзора, который может отказать ради «обеспечения обороны страны и безопасности государства».
Фото: Александр Коряков, Коммерсантъ
“Ъ” ознакомился с поправками к закону «О персональных данных», которые 6 апреля внесла в Госдуму группа депутатов во главе с председателем комитета Госдумы по информполитике Александром Хинштейном и сенатором Андреем Клишасом. Документ вводит для операторов персональных данных обязанность информировать Роскомнадзор о намерении их трансграничной передачи. При этом регулятор может запретить отправку для «защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства».
По документу, все операторы персональных данных также должны будут информировать органы власти об утечках личной информации граждан и подключиться к ГосСОПКА (сейчас это обязательно только для объектов критической информационной инфраструктуры). Запрещается сбор и обработка биометрических персональных данных несовершеннолетних.
Проект поправок разработан для «усиления защиты персональных данных», сказано в пояснительной записке.
Авторы отмечают, что в интернете распространены сервисы, продающие украденные персональные данные россиян: «Это нарушает право человека на неприкосновенность частной жизни и создает угрозу использования этих данных в мошеннических целях». Особую тревогу у авторов законопроекта вызывает сбор данных для «деанонимизации» военнослужащих.
Требования об уведомлении Роскомнадзора о начале трансграничной передачи персональных данных предполагают, что ведомство будет рассматривать заявление 30 дней и может отказать, отметила эксперт по информационной безопасности «Крок» Анастасия Федорова: «Все 30 дней рассмотрения заявления компания может передавать данные за рубеж, но, если получит отказ от Роскомнадзора, должна будет доказать регулятору, что данные получателем удалены». К сожалению, добавляет эксперт, не разъяснен механизм, что же будет являться достаточным доказательством удаления данных.
Запретить трансграничную передачу данных россиян Роскомнадзор может только иностранным или международным компаниям, официально работающим в России, подчеркивает гендиректор Института исследований интернета Карен Казарян. За последний месяц на фоне военной операции деятельность в РФ приостановили или прекратили десятки иностранных компаний, которые имели доступ к персональным данным. В их числе игровые платформы, софтверные компании, системы бронирования билетов и отелей, а также музыкальные и видеостриминговые сервисы.
Карен Казарян сомневается, что подключение всех операторов персональных данных к ГосСОПКА технически возможно: «В РФ зарегистрировано почти 440 тыс. организаций, обрабатывающих такие данные, система будет очень сильно перегружена».
Проект предусматривает изменения в большинстве ключевых норм закона «О персональных данных», отметил руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев: «Право Роскомнадзора запрещать трансграничную передачу данных позволяет исполнительной власти выборочно закрывать "цифровой занавес"». Обязанность операторов уведомлять Роскомнадзор о намерении передачи данных значительно затруднит работу с иностранными цифровыми сервисами, полагает эксперт, но не предоставит субъектам персональных данных дополнительные гарантии безопасности.