В Госдуму внесён законопроект об усилении защиты прав субъектов персональных данных

Юридическая компания «Пепеляев Групп» сообщает, что 6 апреля 2022 г. в Госдуму на рассмотрение поступил законопроект [1], предусматривающий внесение поправок в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Законопроект). Целью законопроекта является усиление защиты прав российских граждан на неприкосновенность частной жизни.

Проблема защищенности персональных данных от несанкционированного доступа со стороны неограниченного круга лиц имеет высокую актуальность. В последнее время персональные данные российских граждан часто попадают в открытый доступ. В соответствии с Пояснительной запиской к Законопроекту широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан из различных баз данных. Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования российского законодательства о персональных данных. По данным Роскомнадзора, более 2,5 тыс. операторов персональных данных осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны.

В Пояснительной записке к Законопроекту также отмечается, что существующих законодательных механизмов недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных.   

Введение принципа экстерриториальности действия № 152-ФЗ

Предлагается распространить положения Закона № 152-ФЗ на действия с персональными данными граждан РФ, совершаемые иностранными органами власти, юридическими или физическими лицами. Предусматривается возможность вмешательства уполномоченных органов власти РФ в вопросы обработки персональных данных российских граждан на территории других государств.

Уточнение требований к согласию на обработку персональных данных

В настоящее время согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 152-ФЗ). Законопроектом предлагается дополнить норму требованием о предметности и однозначности согласия на обработку персональных данных.

Введение обязанности операторов при допущении утечек персональных данных

Предлагается ввести обязанность операторов обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, предоставление, распространение, передачу персональных данных.

Регламентация статуса лица, осуществляющего обработку персональных данных по поручению оператора

Регламентируется статус лица, осуществляющего обработку персональных данных по поручению оператора. В частности, вводится определение такого лица в качестве государственного органа, муниципального органа, юридического или физического лица, осуществляющего обработку персональных данных по поручению оператора с согласия субъекта, если иное не предусмотрено Законом № 152-ФЗ.

Законопроект конкретизирует, что лицо, осуществляющее обработку персональных данных, не определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с такими данными.

Уточнение порядка трансграничной передачи персональных данных

Дополняется понятие трансграничной передачи персональных данных. Законопроект предусматривает, что при такой передаче определяющим является не организационно-правовая форма получателя данных, а его нахождение на территории иностранного государства.

Ограничения в части обработки биометрических персональных данных

Вводится запрет на обработку биометрических персональных данных несовершеннолетних лиц в возрасте до 18 лет, за исключением случаев, предусмотренных ч. 2 ст. 11 152-ФЗ (реализация международных договоров о реадмиссии, осуществление правосудия и исполнение судебных актов, проведение обязательной государственной дактилоскопической регистрации, а также иные случаи, предусмотренные законодательством РФ).

Существенное сокращение сроков на исполнение запросов Роскомнадзора

В настоящее время операторы имеют возможность исполнять запросы Роскомнадзора или субъекта по вопросам, связанным с незаконной обработкой персональных данных или получением информации об обработке персональных данных, в течение 30 дней с даты их получения. Предлагается сократить срок для исполнения таких запросов до 10 рабочих дней.

О чем подумать, что сделать

Несмотря на то, что Законопроект только внесен в Госдуму РФ, организациям, осуществляющим обработку персональных данных, уже сейчас целесообразно предпринять шаги по приведению деятельности в соответствие с готовящимися изменениями законодательства в области персональных данных. Заблаговременное выявление и устранение нарушений позволит снизить правовые риски, возможные дополнительные расходы на устранение последствий, а также избежать репутационных потерь.

Помощь консультанта

Специалисты «Пепеляев Групп» осуществляют постоянный мониторинг изменений законодательства в области персональных данных и обладают опытом всесторонней поддержки бизнеса по вопросам соблюдения законодательства, выявлению и оценке правовых рисков, а также разработке бизнес-ориентированных предложений по минимизации выявленных рисков.

В спектр услуг «Пепеляев Групп» входят:

• консалтинг по вопросам соблюдения требований законодательства в области персональных данных;

• разработка необходимых документов по вопросам обработки персональных данных;

• аудит организационных и технических мер защиты персональных данных;

• представление интересов в судах по спорам, связанным с обработкой персональных данных;

• digital-услуга для упрощения работы по обновлению перечней лиц с доступом к персональным данным.