Роскомнадзор озвучил новые подходы к защите персональных данных

Надзорная служба будет активно отстаивать право граждан на добровольное предоставление своих биометрических данных. А с сентября не будет рассматривать в качестве надлежащего правового основания обработку данных на основании договора, если в нем в качестве условия заключения договора есть бездействие субъекта ПД.

Новые требования к безопасности ПД являются закономерным продолжением формирования нормативной системы, которая ориентирована на обеспечение высокого уровня защиты прав россиян. Об этом сообщил сегодня глава Роскомнадзора (РКН) Андрей Липов на заседании Общественного совета (ОС) при РКН. Встреча прошла в преддверии вступления 1 сентября в силу поправок в закон «О персональных данных».

По словам главы РКН, защита личных данных в России вышла на «качественно новый уровень», что позволит усилить безопасность данных граждан не только от внутренних угроз, но и внешних. В частности, за счет поправок о трансграничные передачи ПД операторами.

Заместитель главы РКН Милош Вагнер отметил, что ПД стали крайне ценным объектом для современной экономики, поэтому за ними идет охота.

«Теперь мы более не будем рассматривать в качестве надлежащего правового основания обработку данных на основании договора, если в нем в качестве условия заключения договора есть бездействие субъекта ПД», – сообщил заместитель главы РКН. Например, если сотрудники надзорной службы встретят в оферте слова вроде «нахождение пользователя на сайте является акцептом условий использования сайта в полном объеме». То же касается и договоров, где есть условия, ограничивающие права и свободы субъекта персональных данных.

Большинство экспертов по данным согласны с поправками, которые ограничивают компании в избыточном сборе данных. Также вызывает беспокойство стремление операторов включить в договор услуг согласие на обработку ПД. «Мы видим, что многие российские компании смешивают такие правовые основания, как «договор» и «согласие». Поскольку сам по себе договор с субъектом персональных данных является самостоятельным правовым основанием», – рассказал RSpectr соучредитель Russian Privacy Protection Association (RPPA) Алексей Мунтян.

Милош Вагнер отметил, что закон прямо запретил понуждение граждан к предоставлению биометрических данных. Согласно внесенным поправкам в закон, оператор не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить свои биометрические данные.

Также оператор обязан предоставить человеку информацию – о правовых основаниях, цели обработки, кому и почему передавал данные, состав данных, источники их получения. С 1 сентября срок ответа на такие запросы не должен превышать 10 рабочих дней. В законе есть оговорка, что срок ответа может быть увеличен еще на 5 рабочих дней, но в исключительных ситуациях.

Также оператор должен проинформировать Роскомнадзор об инцидентах с персональными данными. Это необходимо, чтобы как можно раньше начать принимать меры по снижению доступности скомпрометированных данных. Находить и блокировать ресурсы, распространяющие данные.

Речь идет, в первую очередь, об инцидентах, связанных с произошедшей утечкой данных. Выполнить эту обязанность необходимо с момента выявления утечки, когда о ней стало известно оператору или Роскомнадзору, а не с момента самой утечки.

В ближайшее время планируется запустить на портале Роскомнадзора соответствующую форму для уведомления в электронном виде.

Милош Вагнер напомнил, что с начала 2022 года произошло не менее 40 крупных утечек баз ПД россиян, что привело к компрометации свыше 300 млн записей, содержащих персонифицированную информацию.