Из поправок к закону «О персональных данных», которые сейчас рассматривают в Госдуме, уберут требование о непрерывном подключении к системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) всех операторов персональных данных, а также упростят бизнесу взаимодействие с Роскомнадзором по вопросу трансграничной передачи личной информации граждан. Это решение было принято на заседании рабочей группы в Госдуме с участием представителей бизнеса. Если эти правки будут учтены, то это облегчит исполнение закона крупному бизнесу.
Александр Хинштейн
Фото: Иван Водопьянов, Коммерсантъ
Поправки к законопроекту «О персональных данных» будут доработаны с учетом предложений бизнеса, заявил 23 июня на заседании рабочей группы в Госдуме глава комитета по информполитике Александр Хинштейн. Об этом “Ъ” рассказали источники, знакомые с деталями встречи, и подтвердил сам депутат.
Поправки к законопроекту были разработаны группой депутатов во главе с Александром Хинштейном и приняты в первом чтении 24 мая. Они обязывают операторов персональных данных информировать Роскомнадзор о намерении их передачи в другие страны (по оценке «Опоры России», расходы бизнеса на это могут составить почти 33 млрд руб., см. “Ъ” от 21 июня). Документ также предусматривает введение требований по непрерывному подключению операторов персональных данных к ГосСОПКА и закрытие данных из реестра недвижимости. Российский союз промышленников и предпринимателей (РСПП) попросил оставить эту информацию открытой, писали «Ведомости» 23 июня.
По словам Александра Хинштейна, предполагается, что положения законопроекта, связанные с трансграничной передачей данных, вступят в силу с марта 2023 года. Ранее предполагалось, что документ начнет действовать через 10 дней после опубликования.
Депутат добавил, что сами эти нормы будут скорректированы таким образом, чтобы бизнесу необходимо было уведомлять Роскомнадзор о трансграничной передаче данных только при первом взаимодействии с новой для себя страной.
Если эта страна обеспечивает адекватную защиту прав субъектов данных (входит в одноименный список Роскомнадзора) или поддержала конвенцию Совета Европы «О защите физлиц при обработке персональных данных», то бизнес может не дожидаться ответа ведомства. По словам господина Хинштейна, в ходе совещания представители Роскомнадзора сообщили о том, что достигли соглашения с Министерством иностранных дел о добавлении Китая в список стран, обеспечивающих адекватную защиту прав субъектов данных.
Если же страна не входит в соответствующие списки, то необходимо будет подождать рассмотрения обращения Роскомнадзором, сейчас обсуждается сокращение отводимого на это срока с 30 до 10 дней, отметил господин Хинштейн.
Бизнес будет уведомлять Роскомнадзор об утечке личной информации в течение 24 часов после обнаружения, а не после того, как она произошла, рассказал депутат, при этом из законопроекта планируется убрать требование о непрерывном подключении бизнеса к ГосСОПКА, эти нормы должны вступить в силу с 1 сентября 2022 года.
Источник “Ъ”, посетивший заседание, сообщил, что также было предложено убрать запрет на сбор и обработку биометрических данных несовершеннолетних. Этот вопрос планируется рассмотреть позже в рамках законопроекта о «Единой биометрической системе», пояснил он. “Ъ” направил запрос в Минцифры.
«Регуляторами и отраслью была проведена большая работа по ключевым вопросам, и достигнут компромисс на концептуальном уровне. Надеемся, все договоренности будут корректно отражены в редакции проекта ко второму чтению»,— отметила президент Ассоциации больших данных (АБД) Анна Серебряникова,
Если все эти поправки будут внесены в законопроект, это значительно упростит исполнение закона крупным бизнесом, отметил глава Института исследований интернета Карен Казарян, при этом финансовая и административная нагрузка на средний и малый бизнес остается существенной.