Персональным данным россиян хотят поставить кордон на пути за бугор
Роскомнадзор решит, можно ли отправлять за рубеж личные сведения россиян
Организация, в которой произошла утечка данных, должна не только оперативно уведомить об этом Роскомнадзор, но и в течение трех суток представить результаты собственного расследования инцидента. Ведомство будет контролировать передачу личных сведений из России в другие страны и сможет ее ограничить в случае выявления угроз. Такие поправки, по данным «Парламентской газеты», подготовили в Госдуме ко второму чтению законопроекта об усилении защиты персональных данных.
Узнать за 72 часа
Законопроект обязывает организацию, в которой произошла утечка персональных данных, в течение суток уведомить об этом Роскомнадзор. Поправками уточнили, что этот период начинается не с момента самого инцидента, а после того, как о нем стало известно ответственным сотрудникам. При этом срок, в течение которого компания должна провести внутреннее расследование и представить его результаты в Роскомнадзор, предложили увеличить до 72 часов, рассказал «Парламентской газете» глава Комитета Госдумы по информационной политике, информтехнологиям и связи Александр Хинштейн («Единая Россия»).
Вступление в силу ряда положений документа, касающихся трансграничной передачи данных, хотят отложить до марта 2023 года, проинформировал Хинштейн. Речь идет о необходимости согласовывать с Роскомнадзором факт такой передачи. Делать это придется каждому оператору данных, но только один раз — когда компания начинает взаимодействовать с новой страной, подчеркнул глава ИТ-Комитета.
«Уже сегодня по закону оператор, направляющий персональные данные россиян за границу, обязан удостовериться, что они будут надлежащим образом обрабатываться и храниться. Такая проверка осуществляется в течение тридцати дней, поэтому фактически для операторов новых обязанностей не возникает», — пояснил депутат.
Из текста законопроекта следует, что в случае угроз для обороны, безопасности и основ конституционного строя трансграничную передачу данных Роскомнадзор может ограничить.
ГосСОПКА непрерывной не будет
Поправки в законопроект разрабатывали с участием представителей бизнеса, рассказала «Парламентской газете» президент Ассоциации больших данных Анна Серебряникова. Целью обсуждений, по ее словам, было достижение компромиссного варианта регулирования, который позволит надежно защитить права и данные граждан, обеспечить прозрачные механизмы контроля государством и дать технологическим компаниям возможность развивать направление аналитики данных, чтобы предлагать клиентам еще больше конкурентоспособных отечественных сервисов.
«Считаем, что на данном этапе цель достигнута, надеемся, что все договоренности будут отражены в редакции проекта ко второму чтению», — отметила Серебряникова.
После внесения законопроекта в Госдуму в апреле представители бизнеса обратили внимание на обязанность подключения компаний к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосCОПКА) и обеспечения с ней непрерывного взаимодействия. Это, по их мнению, потребует серьезных затрат и повысит нагрузку на функциональность системы.
После переговоров с крупными операторами персональных данных текст документа решили изменить, рассказал Александр Хинштейн. «Слово «непрерывное» мы уберем, а в какой форме операторы будут взаимодействовать с ГосСОПКой, определит соответствующий уполномоченный орган, — отметил депутат. — Важно, что устанавливать дополнительное оборудование компаниям не потребуется, поэтому о компенсациях на это речи не идет».
Китай сделают «доверенным»
Будущий закон расширит понятие трансграничной передачи данных, рассказали «Парламентской газете» в Фонде развития интернет-инициатив: если раньше это была только передача данных на территорию другого государства, то теперь — передача любой иностранной организации.
«Даже если серверы иностранного юрлица находятся в России и информация обрабатывается в нашей стране», — пояснила представитель фонда Александра Орехович.
Читайте также:
• Антон Горелкин: Онлайн-доски объявлений должны контролировать свой контент
Роскомнадзор формирует перечни государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, и где этого не происходит. В первую группу «доверенных» входят европейские государства и ряд дружественных России стран, например, Израиль, Аргентина, Казахстан, Мексика и другие. А США и Китай оказались во второй группе, в них существуют риски для персональных данных. Для «доверенных» стран законопроект предусматривает уведомительный порядок передачи данных, для остальных — разрешительный, то есть организации нужно будет дождаться отмашки из Роскомнадзора, чтобы начать взаимодействие с зарубежными партнерами. Это, по мнению некоторых экспертов, может негативно отразиться на бизнес-процессах.
Чтобы этого не произошло, в IT-Комитете обсуждают возможность снизить срок получения разрешения с 30 до 10 дней. Для компаний, которые уже работают с заграницей, до марта 2023 года будет действовать переходный период, в течение которого они должны уведомить о своих действиях Роскомнадзор, сообщил Александр Хинштейн. Кроме того, по его словам, в ближайшее время в список «доверенных» стран внесут Китай, с которым у российского бизнеса традиционные связи.
Поправки ко второму чтению законопроекта об усилении защиты персональных данных планируют рассмотреть на заседании IT-Комитета Госдумы 29 июня.
Ещё материалы: Александр Хинштейн