Россия намерена защищать персональные данные по экстерриториальному принципу

Госорганы РФ смогут вмешиваться в вопросы обработки персональных данных (ПД) российских граждан в других государствах в соответствии с экстерриториальным принципом. Соответствующий проект поправок к закону «О персональных данных» был принят в первом чтении на пленарном заседании Госдумы 24 мая (документ опубликован в электронной базе законопроектов парламента).

Согласно поправкам, российские операторы будут обязаны информировать уполномоченные органы о намерении провести трансграничную передачу персональных данных. А сами органы получат возможность ограничить такую передачу, если она будет угрожать безопасности и конституционному строю России. Иностранные компании, занимающиеся сбором, обработкой и хранением ПД россиян, будут обязаны соблюдать в отношении их нормы российского законодательства.

В уведомлении о планах осуществить трансграничную передачу данных оператор должен указать их получателя, правовое основание и цель передачи, информацию о правовом регулировании в области ПД государства, под юрисдикцией которого находится получатель. Оператором в данном случае выступает любой госорган, физическое или юридическое лицо, которое осуществляет сбор, обработку и хранение данных. Сейчас, по данным Роскомнадзора, в России более 2500 операторов, которые осуществляют трансграничную передачу ПД россиян в недружественные страны.

Законопроект не только ужесточает регулирование в области трансграничной передачи ПД, но и распространяет действие закона «О персональных данных» на их обработку иностранными субъектами, если это затрагивает права и свободы субъектов данных, отмечает член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Ефим Казанцев.

Экстерриториальный принцип в работе с данными уже интегрирован в законодательство других стран (например, регламент по защите персональных данных (GDPR), действующий в ЕС). Тренд на экстерриториальность в законодательстве также прослеживается в Турции, Китае, Таиланде и Японии, знает представитель компании Group-IB. Но в России большинство компаний будут игнорировать это требование, так как проконтролировать его выполнение «очень проблематично», считает независимый эксперт по информационной безопасности Алексей Лукацкий. По его оценке, регулятору либо придется вводить ответственность за неуведомление, либо пропускать через себя абсолютно все транзакции, что остановит документооборот и коммуникацию с другими странами. Лукацкий уточняет, что в GDPR и европейском законодательстве в целом есть требования по локализации персональных данных, но факт уведомления об их передаче в другое государство – это отчасти «российское ноу-хау».

В теории экстерриториальные нормы существуют, на практике их эффективность зависит от той самой зоны, в которой государство, интересы которого нарушаются, может отстоять свои интересы за пределами своей территории, подтверждает управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. «Но будут ли зарубежные компании подчиняться законным требованиям из России, не имея в России никаких активов, имущества и представительств, – это отдельный вопрос, ответа на который у меня нет», – заключает эксперт.

Норма российского закона не может быть международной и действует только внутри страны, но может устанавливать правила, применяющиеся к трансграничным отношениям с участием российских граждан и юрлиц, соглашается Казанцев. Такая норма, введенная национальным законом, не будет работать автоматически на международном уровне, что приведет к ее игнорированию крупными международными операторами персональных данных, поясняет юрист. Например, Google уже игнорирует российский закон «о приземлении иностранных IT-компаний», напоминает он.

Законопроект вводит еще несколько ограничений для операторов ПД. Например, теперь данные из Единого государственного реестра недвижимости (ЕГРН) будут предоставляться третьим лицам только с согласия их владельца или по запросу нотариуса. Операторам будет запрещено отказывать в оказании услуг гражданам, которые не хотят предоставлять свои ПД (кроме случаев, когда работа с такой информацией обязательна).

Также законопроект обязывает операторов в 30-дневный срок прекратить обработку ПД, если этого потребует их владелец, либо направить ему мотивированный отказ. Такая мера лишит часть операторов возможности злоупотреблять правом на доступ к информации, считает технический директор АО «Синклит» Лука Сафонов. «Например, для оформления скидочной карты в продуктовом магазине нужны персональные данные – ФИО, телефон и т. д. Но идентификатором программы лояльности является только карта, сами данные магазину не нужны. Такого количества информации, которое сейчас есть у рекламных компаний, нет, наверное, даже у спецслужб», – рассуждает Сафонов. В соответствии с новым положением закона после требования к оператору прекратить обработку данных он будет обязан полностью их уничтожить.

В проект поправок также вошел ряд мер, обязывающий операторов незамедлительно уведомлять госорганы об инцидентах с принадлежащими им базами персональных данных, а также обеспечить непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Ранее Российская ассоциация электронных коммуникаций (РАЭК) критиковала эти поправки, писал «Коммерсантъ». По словам экспертов РАЭК, эта мера приведет к финансовым и административным издержкам для бизнеса и муниципальных организаций.

Еще одна поправка к закону фактически запрещает обработку биометрических ПД несовершеннолетних за исключением отдельных случаев, указанных в законодательстве. Это ранее критиковала Ассоциация больших данных (АБД) в своем отзыве на законопроект. АБД предупреждала, что он ограничит право подростков дистанционно пользоваться финансовыми и иными сервисами, писали «Известия».

«Персональные данные россиян – это ценность, безопасность которой сегодня часто оказывается под угрозой из-за недобросовестности операторов или пробелов в законодательстве, – сказал один из авторов законопроекта, депутат «Единой России» Антон Немкин. – Наш законопроект эти пробелы ликвидирует. Он помогает создать более строгую систему защиты данных и контроля за их использованием и стимулирует операторов принимать меры по защите данных, которые они собирают и хранят».

По данным компании DLBI, которая занимается изучением утечек данных и мониторингом даркнета, с начала февраля по середину мая 2022 г. в открытый доступ попали данные более чем 8 млн пользователей только сервисов доставки еды. Кроме того, от взломов баз данных пострадали российские мобильные операторы, видеохостинги, банки, платежные и другие сервисы.