Государственная Дума приняла закон, которым предлагаются дополнительные меры по защите персональных данных россиян. Теперь операторы персональных данных должны незамедлительно сообщать в уполномоченные органы обо всех кибератаках и утечках. На сайте ведомства приведены слова Председателя Комитета по информационном политике, информационным технологиям и связи Александра Хинштейна, о том, что оператор будет обязан в течение суток с момента выявления инцидента уведомить о нем Роскомнадзор.
«Информирование будет проходить в два этапа: в течение суток — описание скомпрометированных данных, в течение трех суток — результаты внутренней проверки», — цитирует депутата пресс-служба.
Теперь операторы должны будут информировать соответствующие органы о намерении передачи персональных данных за рубеж, в ряде случаев такая передача может быть ограничена. Кроме того, втрое — с 30 до 10 дней — сокращаются сроки исполнения операторами запросов органов власти и граждан по проблемам, связанным с незаконной обработкой персональных данных.
В первой версии документа бизнес должен был уведомлять ведомство в течение 24 часов после инцидента, а теперь — после обнаружения. Также информацию нужно передавать в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Но из актуальной версии документа исключено требование о непрерывном взаимодействии с ГосСОПКА. Документ также вводит обязанность сообщать Роскомнадзору о передаче персональных данных россиян в другие страны. Причем ведомство в праве запретить передачу «в целях защиты конституционного строя, обеспечения обороны и безопасности государства». Теперь же добавилось еще одно основание для запрета на передачу за рубеж персональных данных россиян: для «защиты суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене».
В первой версии документа поправки требовали сообщать ведомству при каждой передаче данных за рубеж, что делало невозможной покупку товаров в иностранных магазинах и заключение любых сделок. В текущей редакции есть возможность единовременно подать уведомления заранее по всем перспективным направлениям до вступления закона в силу в марте 2023 года. Ключевые возражения по законопроекту учтены в текущей редакции, положения, имеющие драматические последствия для трансграничной онлайн-торговли, исключены.
Также устанавливается прямой запрет отказывать гражданам в оказании услуг, если они не готовы предоставить свои персональные данные (в т. ч. биометрические), даже в случае их необходимости. Но есть исключения для случаев, которые предусмотрены как действующей версией закона о персональных данных, так и другими законами. Например, в законе о персональных данных прописана возможность принудительного сбора биометрии с военных, призывников, подлежащих депортации, осужденных и некоторых госслужащих.
Однако, эксперты уверены, что эта норма не поменяет существующей практики, а скорее носит характер заявления, чтобы успокоить граждан. По текущему законодательству оказание ряда услуг, например, дистанционное банковское обслуживание, все равно требует сдачи биометрии.
Ранее «Телеспутник» сообщал, что Московский суд признал компанию Twitch Interactive, Inc. виновной в невыполнении требования по обеспечению хранения персональных данных россиян на территории РФ. За совершение административного правонарушения ей назначен штраф в размере 2 млн рублей.
