Больше адекватности: в Госдуму внесен новый законопроект о защите персональных данных

Правовой парадокс

25 июня в Госдуму внесены новые поправки в закон «О персональных данных». Авторами инициативы выступили сенаторы Андрей Клишас, Артем Шейкин и Александр Савин, а также депутаты Госдумы Антон Немкин, Александр Ющенко, Андрей Луговой, Марина Ким и Антон Ткачев. Документ предполагает изменить подход к тому, какие страны считать адекватно обрабатывающими персональные данные. Сейчас в законе «О персональных данных» таковыми считаются страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны, которые одобрил Роскомнадзор. Инициатива предлагает считать адекватно обрабатывающими персональные данные именно те страны, политика обработки данных которых соответствуют положениям конвенции Совета Европы.

Согласно закону, все операторы персональных данных должны информировать Роскомнадзор о намерении передать данные за рубеж. Регулятор же имеет право запретить передачу. При этом порядок передачи за рубеж персональных данных зависит от того, в какую страну они передаются и насколько адекватную защиту персональных данных предоставляет эта страна.

Член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин пояснил Forbes, что сегодня, согласно действующему законодательству, страны-участницы Конвенции Совета Европы № 108 автоматически признаются обеспечивающими адекватную защиту персональных данных. «Однако практика показывает, что формального участия в международной конвенции недостаточно — важно, как фактически исполняются ее принципы. В случае с Украиной мы наблюдаем систематическое нарушение этих принципов, вплоть до публикации персональных данных российских граждан в открытом доступе с угрозой их жизни и здоровью. Наш законопроект устраняет этот правовой парадокс», — добавил он.

«Мы не можем руководствоваться исключительно формальным признаком — наличием подписи под конвенцией. Если страна демонстрирует откровенное попрание прав граждан России, включая публикацию личных данных с угрозой безопасности, то называть ее «адекватной» с точки зрения защиты персональных данных по меньшей мере нелогично», — рассказал Немкин.

Оценка адекватности

Сейчас по закону компании не могут передавать персональные данные россиян в «неадекватную» юрисдикцию, пока не пройдет десять рабочих дней с момента направления в Роскомнадзор уведомления об осуществлении такой передачи, говорит управляющий партнер Comply Артем Дмитриев. На практике это приводит к приостановке бизнес-процессов, добавил он. В случае принятия законопроекта государство будет использовать перечень недружественных стран для обновления списка государств, «адекватных» с точки зрения регулирования персональных данных, предполагает юрист. «Перечень «адекватных» юрисдикций сократится, и тогда бизнесу чаще придется проходить через чуть более обременительную процедуру уведомления о передаче персональных данных в «неадекватную» юрисдикцию», — заключает он.

Инициатива касается того, как российское государство оценивает зарубежные юрисдикции с точки зрения защиты ими персональных данных, рассуждает эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA) Алексей Мунтян. «Я предпочитаю термины «доверенные» и «недоверенные». К доверенным по умолчанию относятся сейчас страны-участники Конвенции Совета Европы, которую подписала в том числе и Россия. Кроме того, доверенными считаются страны, которые были отнесены Роскомнадзором к государствам, обеспечивающим эквивалентный уровень защиты прав субъектов профессиональных данных. В доверенные страны компания может начинать передавать персональные данные сразу после направления уведомления в Роскомнадзор, не дожидаясь ответа от ведомства. А чтобы начать передавать персональные данные в недоверенные страны, нужно дождаться окончания рассмотрения уведомления Роскомнадзором», — говорит Алексей Мунтян.

Эксперт предполагает, что решено дать возможность Роскомнадзору больше свободы в определении доверенных и недоверенных государств — без оглядки на формальный признак в виде участия страны в Конвенции. «У нас есть ряд стран, которые признаны доверенными с точки зрения защиты данных, при этом с политической точки зрения входят в список недружественных. И наоборот», — подчеркнул он. Принятие законопроекта может привести к тому, что количество доверенных юрисдикций скорее всего, будет «сильно меньше, чем сейчас», рассуждает Мунтян.

В Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter, Центр стратегических разработок, Аналитический центр при правительстве) считают, что законопроект не изменит текущий порядок трансграничной передачи персональных данных бизнесом. «Но при этом он потребует дополнительно оценивать адекватность защиты прав субъектов персональных данных в государствах, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», — добавили в Ассоциации. Инициатива может повлиять на существующие проекты, связанные с передачей данных в указанные государства, полагают в АБД: если защита персональных данных в них будет признана неадекватной, это может потребовать новых уведомлений Роскомнадзора о трансграничной передаче.

Сейчас Роскомнадзор также имеет возможность вносить любую страну в список обеспечивающих адекватную защиту персональных данных, указывает генеральный директор Института исследований интернета Карен Казарян. Новый законопроект предоставит ведомству возможность напрямую управлять списком «адекватных» стран, не оглядываясь на список стран, подписавших Конвенцию Совета Европы, резюмирует он.