Сегодня в Госдуме в первом чтении принят проект закона № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных». Законопроект предусматривает целый комплекс мер по усилению защиты персональных данных россиян. После его вступления в силу сведения о недвижимости граждан станут менее доступными для посторонних лиц. Кроме того, операторы должны будут постоянно работать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы страны, в том числе информировать о компьютерных инцидентах, в результате которых злоумышленники получили доступ к персональным данным граждан. Законопроект также предлагать обязать иностранные органы власти и организации соблюдать российское законодательство в сфере защиты персональных данных.
Федеральный закон «О персональных данных» был принят еще в июле 2006 года, и в следующие шестнадцать лет регулярно дополнялся. Весной 2022 года количество «утечек» и хищений персональных данных россиян резко выросло. По данным компании DLBI (Data Leakage & Breach Intelligence), которая занимается изучением утечек данных и мониторингом даркнета, с начала февраля по середину мая 2022 года в открытый доступ попали данные более чем 8 млн пользователей только сервисов доставки еды. Кроме того, от взломов баз данных пострадали мобильные операторы, видеохостинги, банки, платежные и многие другие сервисы. По мнению экспертов, в большинстве случаев задачу хакерам облегчали сами администраторы пострадавших ресурсов, которые не обеспечили их достаточной защитой.
При этом хакерские атаки – далеко не единственный источник потенциальных угроз. Опыт последних лет показал, что даже без использования методов взлома и незаконного проникновения злоумышленники могут успешно собирать персональные данные и использовать их в своих целях.
«За последние пять лет, согласно экспертным оценкам, до 380 млн. записей персональных данных россиян уже «утекло» в интернет. И это без учета 2022 года, когда хакерские атаки на различные информационные ресурсы и системы нашей страны происходят в масштабах, которых мы никогда не видели. Внесенный законопроект мы готовили вместе с группой коллег, в которую вошли представители всех фракций. Он устанавливает новые требования и позитивно скажется на всей ситуации», — заявил Александр Хинштейн, представляя проект.
В качестве примера авторы нового законопроекта приводят случаи сбора персональных данных для идентификации военнослужащих и сотрудников правоохранительных органов. Попытки такой деанонимизации особенно участились после начала спецоперации на территории Украины. При этом, действующее законодательство никак не ограничивает выдачу третьим лицам самых разных сведений, в том числе о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. Доступность таких данных создает непосредственные угрозы как для сотрудников силовых ведомств и членов их семей, так и для остальных граждан.
Предложенный законопроект вводит сразу несколько ограничений для операторов персональных данных, что поможет решить эту и другие проблемы. Например, планируется установить, что персональные данные, содержащиеся в Едином государственном реестре недвижимости, могут быть предоставлены третьим лицам только с согласия владельца таких данных или по запросу нотариуса.
Планируется запретить отказывать в оказании услуг гражданам, не желающим предоставлять свои персональные данные, – кроме тех случаев, когда работа с такой информацией обязательна. В этих случаях оператор обязан разъяснить гражданам юридические последствия отказа предоставить свои данные или дать согласие на их обработку.
В 30-дневный срок операторы будут обязаны прекратить обработку персональных данных, если этого потребовал их владелец. Предоставление биометрических персональных данных не может быть обязательным.
Обработка биометрических персональных данных несовершеннолетних будет практически запрещена за исключением отдельных случаев, указанных в законодательстве.
Отдельно в законопроекте прописаны изменения в порядке трансграничной передачи персональных данных. Операторы должны будут оповещать органы власти о намерении направить такие данные, а у органов власти появится возможность ограничить такую передачу.
В случае взлома баз данных или их утечки, а также других происшествий операторы в течение суток должны будут направить в органы, отвечающие за защиту прав субъектов персональных данных, информацию о происшествии и его причинах, о предполагаемом вреде, о тех, кто допустил такое нарушение, и о том, как именно будут устранять последствия.
Один из авторов законопроекта депутат Антон Немкин убежден, что предлагаемые в законопроекте изменения давно назрели, и заставят операторов персональных данных более ответственно относиться к их обработке и хранению. «Персональные данные россиян – это ценность, безопасность которой сегодня часто оказывается под угрозой или из-за недобросовестности операторов этих данных, или из-за пробелов в законодательстве. Наш законопроект эти пробелы ликвидирует. Он помогает создать более строгую систему защиты данных и контроля за их использованием и стимулирует операторов принимать меры по защите данных, которые они собирают и хранят», — подчеркнул Антон Немкин. Парламентарий также добавил, что предлагаемые в законопроекте меры позволят создать необходимые условия для защиты персональных граждан не только напрямую от злоумышленников, но и от бездействия операторов.
Ко второму чтению, сообщил Александр Хинштейн, авторы законопроекта проработают все поступающие предложения вместе с Минцифрой России и представителями бизнеса.
Законопроект № 101234-8, относящийся к тематическому блоку «Оборона и безопасность», был внесен в Госдуму в начале апреля. Его авторами стали сенаторы Андрей Клишас и Андрей Яцкин, а также депутаты Александр Хинштейн, Андрей Луговой, Антон Немкин, Сергей Боярский, Антон Горелкин, Сергей Гаврилов и другие.
