В Госдуму 6 апреля 2022 года внесён законопроект о внесении изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости» и иные нормативные акты, затрагивающие вопросы обработки персональных данных. Без преувеличения это коснётся каждого, однако не многие об этом подозревают. На практике я регулярно сталкиваюсь со святой уверенностью предпринимателей в том, что они не являются операторами ПД. Задаешь элементарные вопросы: форма сбора на сайте есть? клиентскую CRM ведёте? облачными сервисами (не дай Бог иностранными) пользуетесь? Ответы на каждый вопрос положительные, при этом оператором себя не считаем, политики обработки ПД нет, внутренних актов, оценки рисков распространения, регистрации в Роскомнадзоре – нет.
Итак, в чём заключаются основные изменения.
Будет чётко урегулирован вопрос, связанный с трансграничной передачей ПД. Теперь до момента передачи оператор ПД обязан уведомить уполномоченный орган о намерении совершить трансграничную передачу. Полагаете, это Вас не касается? Тогда загляните в пользовательское соглашение своего облачного клиентского сервиса (того самого, которое никто не читает, а просто ставит галочку об ознакомлении). Вполне вероятно, что Вы обнаружите факт регистрации и нахождения серверов исполнителя за пределами РФ. А это означает, что Вы совершаете трансграничную передачу персональных данных, да ещё и без предварительной их локализации на территории РФ.
Самым ярким примером опасностей, которые таит в себе трансграничная передача стала недавняя ситуация, в которую попали пользователи облачного сервиса LeeLoo. Сервис удобный, адекватная стоимость услуг. Одно «но»: сервис украинский. Всё было хорошо до поры до времени, пока не случилась «невойна», и десятки тысяч российских граждан, чьи персональные данные были внесены в этот облачный сервис российскими компаниями-пользователями, не стали получать сообщения про президента-фашиста, россиян-предателей и угрозы гибели от рук украинских ВС. Оскорбления в адрес власти, конечно, можно пережить. Но вот что делать тем, чьи номера телефонов и адреса (в том числе места жительства) оказались непонятно у кого и могут быть использованы непонятно, каким образом? Самый очевидный способ мелко напакостить россиянам – рассылка вирусов внутри электронных писем и смс-сообщений с последующим повреждением техники и уничтожением всей хранящейся информации. Про самые жёсткие думать просто не хочется. Этот случай я привожу просто к слову о причинах, по которым к обработке ПД приковано столь пристальное внимание.
В связи с этим в ближайшее время трансграничная передача ПД будет сопровождаться предварительным уведомлением госоргана. В законопроекте он таинственно называется «уполномоченным в области защиты прав субъектов персональных данных». Такого органа пока нет, так что временно имеем в виду Роскомнадзор. Требования к содержанию этого уведомления настолько обширны, что легче навсегда забыть про иностранные облачные сервисы. Мириться с новой реальностью придётся тем, чей бизнес предполагает необходимость передачи таких данных в связи с выполнением международных контрактов. Уклониться от новых требований через релокацию бизнеса из РФ не получится: проект закона предусматривает экстерриториальный принцип его действия. То есть закон будет распространять свою силу на все случаи обработки ПД, если это ПД российских граждан (хоть из Армении в ОАЭ, хоть из Тайланда в Бельгию). Кстати, это не настолько уж ново: европейские правила GDPR также экстерриториальны. Естественно, трансграничная передача ПД может быть запрещена «в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства».
Вывод: пересматриваем свои отношения с иностранными облачными сервисами и выясняем, а где в принципе расположен ваш контрагент, которому Вы заливаете ПД россиян. Если выясните, что сервис иностранный, – ищите замену на отечественный.
Вводится обязанность операторов ПД незамедлительно сообщать об инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных, причём не Роскомнадзору, а «органу, уполномоченному в области обеспечения безопасности», то есть ФСБ. Будет даже вестись реестр таких инцидентов.
Сложно сказать, «под шумок» или нет, проект закона делает сведения о ФИО и дате рождения собственников, арендаторов, субъектов иных прав на недвижимость, содержащиеся в ЕГРН, анонимными. Теперь такие сведения могут быть предоставлены третьим лицам только в том случае, если соответствующее письменное заявление о своём согласии будет подано самим гражданином, то есть никогда. Согласитесь, вряд ли кто-то из нас побежит в МФЦ или будет ковыряться на госуслугах, чтобы подать такое заявление. То же самое было лет 20 назад, когда телефонная справочная служба получила право давать номер телефона по сведениям об адресе только с письменного согласия проживающих. В итоге эта служба фактически умерла. Исключения в виде права на получение сведений в полном объёме, конечно, есть. Сведения с ФИО и датой рождения могут получить другие участники общей собственности, супруги, владельцы смежных земельных участков, собственники земельного участка, на котором расположен объект недвижимости, стороны договоров аренды, найма, ссуды, сервитутных отношений, нотариусы.
Может быть, конечно, кому-то будет спокойнее скрыть свои данные в публичных реестрах, однако, на мой взгляд, безопасности сделок с недвижимостью такое нововведение не поспособствует. Да и слово коррупция почему-то вертится на языке.
Проект закона даёт нам право отказаться от прохождения биометрии. Сбор биометрических данных несовершеннолетних вообще запрещён. Исключения из общего правила остаются неизменными и касаются в основном сбора биометрических данных и дактилоскопии подследственных и осуждённых, а также с связи с деятельностью в сфере обороны, государственной безопасности, противодействием терроризму. Не забываем про заграничный паспорт нового образца – там без биометрии никак. Прямо указано на то, что оператор ПД не вправе отказать в оказании услуги в случае отказа субъекта предоставить биометрические данные. На себе ощутил активные попытки «взять» биометрию со стороны банков: как только обращаешься по какому-то вопросу непосредственно в отделение – сразу просят «личико показать» в планшет. Ещё вспоминается «оплата лицом» в московском метро. Законопроект эти инициативы "пригасил".
Очень странно, что не ужесточена административная ответственность за нарушения в сфере обработки ПД. Но это, видимо, только пока. Ждём следующего законопроекта.