Крупнейшая реформа законодательства о персональных данных за последние 10 лет

Ну что, коллеги, похоже 2022-й год вновь может стать годом персональных данных, если все задуманные инициативы наших законодателей будут реализованы. И хотя я когда-то написал, что больше не буду заниматься темой ПДн ввиду ее хаотического и совершенно непредсказуемого развития, но, видимо, придется сдуть пыль с этой темой и вновь начать за ней следить более пристально, чем я это делал вполглаза последнее время. В первую очередь интересна судьба внесенного вчера в Госдуму законопроекта №101234-8.

Какие основные моменты я в нем отметил:

• Добавили принцип экстерриториальности, то есть возможность контроля обработки ПДн россиян зарубежными компаниями. Не могу сказать, что это как-то затронет российские компании, а в условиях текущей геополитической ситуации иностранные компании будут не очень-то внимательны к запросам РКН (а право блокировать доступ к сайтам нарушителей российского законодательства у РКН были и раньше).
• Изменили особенности трансграничной передачи ПДн, а именно расширили само это понятие. Также за счет изменения термина «обработка ПДн» и исключения из передачи такой формы как доступ (предоставление доступа), теперь существенно ограничены действия, которые иностранные организации могут осуществлять с ПДн. Например, если раньше иностранцы (например, облачные провайдеры) могли получать доступ к ПДн в рамках трансграничной передачи, то теперь это не сработает. Также, если раньше российские компании могли передавать ПДн своих работников в иностранные представительства, не считая это трансграничной передачей, то теперь, за счет расширения определения трансгранички, это станет затруднительно. Но самое интересное, что теперь запрещено передавать ПДн в недружественные страны без получения предварительного разрешения РКН, которое будет выдано регулятором в тридцатидневный срок в порядке, который еще должен быть установлен Правительством. Если РКН посчитает, что передача может угрожать нравственности, здоровью, конституционному строю, обороне и безопасности государства, а также правам и законным интересам граждан, то передача будет запрещена. Мне кажется мы еще наедимся от этой нормы в случае ее принятия.
• Ввели полноценное описание обработчика ПДн (раньше такого определения не было), попутно добавив ссылки на него в ряд других статей, в которых ранее упоминались только операторы ПДн. Теперь обработчики ПДн должны выполнять практически тот же набор требований (по локализации, поддержанию актуальности, уведомлении об инцидентах и т.п.), как и оператор ПДн. Кроме того, поручение обработки ПДн теперь явно требует наличие договора между оператором и обработчиком.
• Теперь все нормативные акты касательно ПДн, разрабатываемые ЦБ, госорганами и т.п., должны обязательно согласовываться с Минцифрой и Роскомнадзором.
• Все операторы ПДн обязаны будут подключиться к ГосСОПКЕ. Все шесть миллионов. На снижение числа утечек это не повлияет никак, но проблем операторам добавит. А уж рынок СКЗИ поднимет на недосягаемую высоту — ведь подключение к ГосСОПКЕ у нас обеспечивается с помощью только сертифицированных СКЗИ. 6 миллиона СКЗИ?! Мечта, а не требование. ФСБ же передает полученные данные об инцидентах, связанных с ПДн, в РКН.
• Помимо взаимодействия с ГосСОПКОЙ, операторы ПДн (а почему еще и не обработчики?) обязаны о каждой утечке ПДн сообщать в РКН в течение 24-х часов. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о лицах, допустивших указанный доступ, а также о принятых мерах по устранению соответствующих последствий. И эта информация должна быть собрана за 24 часа!!! По любому инциденту, даже незначительному. Ага, сщаз 🙁 А зачем тогда надо подключаться к ГосСОПКЕ? Все инциденты должны храниться в базе, созданной и ведомой Роскомнадзором, доступ к которой будет по отдельным правилам предоставляться ФСБ (но им и так эти данные передаются через ГосСОПКУ).
• Изменили требования к согласию на обработку ПДн, добавив к условиям его получениям предметность и однозначность. Пока сложно сказать, чем это чревато, но боюсь, что это даст право РКН не соглашаться с полученными операторами согласиями. Он и так-то регулярно высказывал претензии к ним — то согласие универсальное, то целей в нем несколько указано, то список получателей не очерчен… А сейчас и вовсе будет ссылаться не неоднозначность и беспредметность.
• Добавили запрет на сбор биометрических ПДн несовершеннолетних или в тех случаях, когда собирать биометрию необязательно.
• Роскомнадзор должен разработать методику оценки вреда субъектам ПДн. Помню в 2012-м году инициативная группа предлагала РКН разработать такую методику, но регулятор отказался. 10 лет прошло и он передумал. Это хорошая инициатива (конечно, будет зависеть от содержания) — ее не хватает, например, при моделировании угроз. Также РКН должен будет разработать методику уничтожения ПДн.
• Изменили форму уведомления РКН о начале обработке ПДн. Теперь категории ПДн, категории субъектов, ПДн которых обрабатываются, правовое основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн должна указываться для каждой цели обработки ПДн. Размер уведомления (и это в условиях нехватки бумаги) увеличится многократно, а у РКН появится еще больше возможностей находить несоответствия между реальной обработкой ПДн и отправленным уведомлением.

Помимо данного законопроекта, текст которого уже готов, в ближайшее время будет подготовлен еще один законопроект о внесении изменений в КоАП в части оборотных штрафов. Пока сложно говорить о том, что в нем будет, но его поддерживает Минцифра, а также РКН, который 10 лет назад уже выходил с этой инициативой. Тогда предлагалось ввести штрафы в размере от 0,5 до 2% от совокупного дохода нарушителя за прошлый год. Предположу, что эта идея вновь получит вторую жизнь и ее попробуют реализовать через поправки в КоАП (ст.13.11).

Но если последняя инициатива пройдет все круги ада согласования и закон будет подписан Президентом, то лично мне интересен один вопрос — а кто и как будет определять размер штрафа? Ведь логично предположить, что утечка может произойти как причине несоблюдения оператором защитных мер, предусмотренных приказами 21 и 378 ФСТЭК и ФСБ соответственно, так и по причине инсайдера, который в рамках своих полномочий утянул и продал данные. Кто будет проводить расследование причин утечки? По КоАП предварительного следствия не предусмотрено — все будет решаться в рамках судебных заседаний. Но кто там будет выступать в качестве эксперта? РКН? Чур меня — они вообще никакого отношения к ИБ не имеют и специалистов там нет. ФСБ? Так они только за криптографию отвечают. ФСТЭК? Так у них тоже особо нет опыта проведения экспертиз и выдачи заключений о вине оператора ПДн. А самое главное, у них нет ресурсов для этого. И как тогда судья должна будет принимать решение о штрафе? Опираясь на мнение Роскомнадзора или прокурора? А самое главное, я не очень верю, что все эти инициативы хоть как-то повлияют на снижение числа инцидентов с ПДн 🙁

На мой взгляд, это одно из самых крупных изменений, которые вносятся в законодательство по ПДн за последние 10 лет, которое, в случае принятия, а учитывая авторов сомневаться в этом не стоит, устроит серьезный переполох как на рынке ПДн, так и на рынке ИБ. Предвижу определенный рост интереса к консалтинговым проектам по ПДн и их технической защите.