Госдума рассматривает новые поправки в закон «О персональных данных». Компании обяжут закупать оборудование и информировать ФСБ обо всех инцидентах, повлекших утечку. Роскомнадзор получит право «запирать» персональные данные внутри страны.
20 мая Владимир Путин комментирует: «Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в частности за счет более строгого контроля правил использования служебной техники, коммуникаций, связи».
24 мая Госдума приняла в первом чтении новый пакет поправок в закон «О персональных данных».
Передача персональных данных за границу
Опрошенные Pravo.ru юристы отмечают важность новых правил трансграничной передачи персональных данных. Согласно нововведениям, будет необходимо раскрывать контактные сведения получателя данных и информацию о мерах по защите передаваемых данных. Кроме того, в уведомлении необходимо указать информацию о правовом регулировании в области персональных данных иностранного государства, под чьей юрисдикцией находится получатель.
Роскомнадзор может запретить передавать данные за рубеж, если увидит необходимость защиты нравственности, здоровья и интересов граждан, а также «основ конституционного строя Российской Федерации и безопасности государства». Законопроект дает РКН 30 дней на рассмотрение уведомлений. То есть, деятельность компаний на это время приостанавливается.
Подключение к ГосСОПКе
Компании обяжут подключиться к системе ГосСОПКА - государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак, и информировать ФСБ обо всех инцидентах, повлекших утечку персональных данных.
Взаимодействие с системой означает дополнительные затраты и повышенную нагрузку на функциональность ИТ-инфраструктуры предприятия.
С критикой инициативы выступила Российская ассоциация электронных коммуникаций, в которую входят «Ростелеком», Samsung, Microsoft, VK, «Лаборатория Касперского» и другие. В организации заявили о существенных затратах на строительство защищенных каналов связи со средствами криптографической защиты.
Дополнительные условия
- Компании, оперирующие персональными данными, обяжут в течение 10, а не 30 дней, отвечать на запросы по вопросам, связанным с незаконной обработкой персональных данных.
- У граждан появится право требовать прекращения обработки персональных данных - операторам дают на это 30 дней.
- Компании обяжут уведомлять РКН об утечках в течение 24 часов с указанием причины инцидента, оценкой предполагаемого ущерба и уведомлением регулятора о мерах по устранению последствий.
- Сокращается перечень случаев, когда не требуется уведомление Роскомнадзора об обработке персональных данных. “Это приведет к тому, что все без исключения компании будут обязаны направлять такое уведомление», – предупреждают юристы.
По задумке авторов законопроекта, нововведения в закон должны действовать и за пределами России. Законопроект предусматривает возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Вышеперечисленные нововведения способны поднять уровень защиты, при этом поправки скорее создадут дополнительную нагрузку на бизнес, вызванную необходимостью соблюдения многочисленных бюрократических процедур.
