Минцифры РФ предлагает ввести оборотные штрафы за утечку персональных данных

Минцифры РФ предлагает ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных, заявил на расширенном заседание комитета Госдумы по информационной политике глава ведомства Максут Шадаев.

"Мы будем просить в этом году, совместно с Роскомнадзором будем выходить с инициативой вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных", - сказал Шадаев.

Накануне вместе с коллегами по Экспертному совету «Единой России» разбирали новые поправки в закон о персональных данных. Основные акценты сделаны на борьбу с утечками (операторы теперь будут обязаны незамедлительно информировать об инцидентах с базами персональных данных) и их незаконным оборотом.

В законе появится принцип экстерриториальности – что позволит регулятору контролировать обработку персональных данных россиян зарубежными компаниями. Это симметричные меры, поскольку такой же принцип прописан в законодательстве ЕС и США, и сейчас получается так, что российские компании поставлены в неравное правовое положение с иностранцами.

Кроме того, изменения коснутся условий трансграничной передачи персональных данных россиян. Сейчас этот порядок не урегулирован, что дает возможность недобросовестным операторам безнаказанно их передавать в недружественные страны – что создает существенную угрозу в условиях текущей внешнеполитической ситуации.

Законопроект успешно прошел Экспертный совет партии и сегодня внесен на рассмотрение Государственной Думы.

👆Законопроект № 101234-8
О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных https://sozd.duma.gov.ru/bill/101234-8

В далеком 2018г. Роскомнадзор рассказал нам cool story про грядущую реформу российского законодательства о персональных данных в связи с подписанием Россией протокола №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных. Видимо, this is it. Предлагаю вашему вниманию 📄 описание положений крупнейшего (с 2011г.) пакета изменений в ФЗ «О персональных данных», предлагаемых авторским коллективом депутатов и сенаторов Федерального Собрания РФ в нашумевшем законопроекте от 06.04.2022 №101234-8.

Минцифры опубликовало проект Требований и Правил аккредитации госорганов, являющихся владельцами и (или) операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация

📃⚡Европейский парламент принял 06.04.2022 Закон ЕС об управлении данными (EU Data Governance Act – DGA). DGA должен теперь быть принят Советом Европейского Союза, прежде чем он станет законом. По оценке Европейской Комиссии, объем данных в ЕС, генерируемых государственными органами, предприятиями и гражданами, постоянно растет. Ожидается, что в период с 2018 по 2025 год он увеличится в пять раз. Новый акт позволит использовать эти данные на благо общества, граждан и компаний – для разработки новых продуктов и услуг. Кроме того, доступ к большим данным имеет решающее значение для использования потенциала искусственного интеллекта («ИИ»). DGA также должен укрепить доверие к обмену данными, сделать его более безопасным и простым, а также обеспечить его соответствие законодательству о защите персональных данных с помощью ряда инструментов, от технических решений, таких как анонимизация и объединение данных, к юридически обязывающим соглашениям о повторном использовании данных.
https://www.europarl.europa.eu/news/en/headlines/priorities/artificial-intelligence-in-the-eu/20220331STO26411/data-governance-why-is-the-eu-data-sharing-law-important

Обновил свою презентацию о регулировании оборота биометрических персональных данных в РФ, добавив в нее пару слайдов о письмах Минцифры России и Роскомнадзора от 2020г. Также обновил перечень подзаконных актов, связанных с 479-ФЗ.

Высокоуровневый обзор нашумевшего законопроекта в "Парламентской газете" - https://www.pnp.ru/economics/personalnye-dannye-rossiyan-mogut-zapretit-peredavat-za-granicu.html

💽 Публикую обновленную версию своей презентации о выполнении требований законодательства РФ о локализации баз с персональными данными. В ней приведена актуальная правоприменительная и судебная практика, проанализированы способы сбора персональных данных, описана экспресс-схема идентификации подлежащих локализации БД, а также рассмотрены стратегии выполнения требований по локализации и механизм оценки их привлекательности.

💡Небольшая презентация о глобальных и европейских практиках локализации данных и ограничения их трансграничного оборота, в которой затронуто следующее:
📌 Динамика эволюции требований локализации данных в 2017-2021гг.;
📌 Наиболее популярная аргументация в пользу локализации данных;
📌 Основные виды ограничений трансграничного оборота данных;
📌 Ранжирование типов локализации по степени ограничения
свободы оборота данных;
📌 Категории локализуемых данных: практика крупных стран;
📌 Практика вынужденной локализации обработки персональных данных в ЕС.

🤔 Просто представим, что данный законопроект концептуально не претерпит изменений в процессе прохождения всех этапов рассмотрения. И поставим перед собой задачу снижения collateral damage этого будущего правового акта, который по своему воздействию на российский ландшафт Data Privacy будет близок к метеоритному дождю… про Челябинский метеорит вспоминать не будем =) Итак, каким образом можно хотя бы минимально «донастроить» законопроект?
1. Уточнить порядок контроля над трансграничной передачей ПД путем введения дополнительных квалифицирующих критериев как для уменьшения области применения разрешительного режима экспорта ПД из РФ (не только по признаку «адекватности» страны-импортера, но и по составу самих ПД), так и для исключения уведомительного режима в отношении экспорта из РФ в «адекватные» страны некоторых «общих» категорий ПД (например, контактных данных).
2. Также стоит применить дифференцированный подход в отношении data breach notification, сделав его добровольным в отношении мелких и не критичных для интересов субъектов ПД инцидентов.
3. Требование о подключении к ГосСОПКА всей миллионной армии операторов-юр.лиц (про ИП и прочих «физиков» даже упоминать не будем) вряд ли вообще выполнимо по причинам финансового, организационного и технического характера. Опять же, придется применить риск-ориентированный подход – по аналогии с ПП-1046 от 2021г.
Продолжение следует…

📰 Вышел мартовский номер журнала "Закон", посвященный вопросам регулирования оборота персональных данных:
📍А. Мунтян. Мы вступили в эпоху цифрового огораживания и национализации (персональных) данных
📍Н. Дмитрик. Люди в своем праве: от правоспособности к идентичности и обратно
📍С. Афанасьев, И. Терещенко, Д. Яцкевич. Биометрическая идентификация и права человека:демаркационная линия
📍А. Изотова. Роль идентификации в институте тайны связи
📍В. Архипов. Персонажи (аватары) в многопользовательских компьютерных играх: вопросы правовой квалификации в свете междисциплинарных исследований
📍А. Савельев, М. Иманалиева. Новое законодательство КНР в области персональных данных: приватность «с китайской спецификой»
📍А. Абышко. Конец общедоступных персональных данных в России? К вопросу о Федеральном законе от 30 декабря 2020 года № 519-ФЗ

Предлагаемая дата рассмотрения законопроекта Государственной Думой 18.05.2022. Предлагаемый срок представления отзывов, предложений и замечаний в комитет 17.05.2022.

⚡Министр финансов Нидерландов оштрафован за нарушение принципов GDPR
📍Кто: Autoriteit Persoonsgegevens (Нидерланды)
📍Кого: министр финансов Нидерландов
📍Когда: 2022.04
📍За что: нарушение ст. 5(1)(a), 5(1)(b), 5(1)(d), 5(1)(e), 6(1), 32(1) и 35(2) GDPR
📍Как: штраф €3,700,000
📍Причина: в 2021г. было проведено расследование в отношении обработки персональных данных в мобильном приложении «FSV», предназначенном для оповещения органов власти Нидерландов о возможных фактах мошенничества. За период с 2013 по 2020 годы в FSV была обработана информация о 244,000 физических лиц (включая несовершеннолетних) и 30,000 предпринимателей. Хотя непосредственно обработку данных, включающих в себя сведения о здоровье, гражданстве и уголовной ответственности, осуществляла Налогово-таможенная администрация Нидерландов, но в качестве контролёра данных был квалифицирован министр финансов.
Надзорный орган подчеркнул, что налоговые органы действовали с нарушением принципов законности, целевого назначения, точности и ограничения периода хранения персональных данных в FSV.

💡Публикую краткое описание методики оценки применимости GDPR в отношении процессов обработки персональных данных. В материале приведены:
📎 Перечень вопросов для оценки применимости положений GDPR к процессам обработки ПД;
📎 Блок-схема оценки применимости положений GDPR к процессам обработки ПД.

#непропрайваси
ФНС России рекомендует налогоплательщикам проверить адрес своей электронной почты перед отправкой обращений в Службу. Приём электронных писем из доменов-отправителей, странами происхождения которых являются США и страны Европейского союза, сейчас заблокирован. Это сделано в соответствии с рекомендациями ФСТЭК России для защиты сервиса электронной почты ФНС России от внешнего негативного влияния (компьютерные атаки, вредоносные программы и т.д.).

Запрет на прием электронных писем с зарубежных доменов установлен и в других государственных органах.

Добавил в описание законопроекта об изменении 152-ФЗ «О персональных данных» ряд своих предложений в адрес Центра компетенций по нормативному регулированию цифровой экономики.

#непропрайваси
Роскомнадзор планирует создать национальную систему защиты российских ресурсов от DDoS-атак, идущих из-за рубежа. Национальная система может появиться осенью 2022 года: к этому моменту ведомство намерено обновить оборудование для глубокой фильтрации трафика (Deep Packet Inspection, DPI), которое используется для исполнения закона о суверенном Интернете, который направлен на обеспечение бесперебойной работы российского сегмента Интернета даже в случае отключения страны от глобальной сети и кибератак.

💡Публикую свою презентацию "Способы легализации обработки персональных данных в контексте трудовых и связанных с ними отношений":
🔹Согласие работника как безальтернативный (базовый) способ легализации обработки ПД в трудовых отношениях
🔹Согласие на обработку ПД и его модель
🔹Аргументы «за» и «против» существующей модели легализации обработки ПД работников на базе СОПД
🔹Легализация обработки ПД работников без СОПД: 152-ФЗ и ТК РФ
🔹Легализация обработки ПД работников без СОПД: разъяснения отраслевого регулятора и надзорного органа
🔹Судебная практика об обработке ПД работников без СОПД и при наличии СОПД с избыточными положениями
🔹Европейский опыт: СОПД работника не может рассматриваться как свободно данное из-за явного дисбаланса между сторонами
🔹Аргументы «за» и «против» перспективной модели легализации обработки ПД работников на базе связки из трудового договора и ЛНА работодателя
🔹Гибридная модель легализации обработки ПД в контексте трудовых и связанных с ними отношений

Госдума приняла во втором чтении законопроект, направленный на защиту потребителей от необоснованного сбора персональных данных со стороны продавцов и поставщиков услуг. Документ, инициированный правительством РФ, вносит поправки в закон "О защите прав потребителей".

Законопроект устанавливает запрет для продавца (исполнителя, владельца агрегатора) отказывать в заключении, изменении, расторжении или исполнении договора в связи с отказом потребителя предоставить персональные данные. Также документ устанавливает перечень недопустимых условий договора, ущемляющих права потребителей. Законопроектом предусмотрен запрет на понуждение потребителя под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки о реализации товаров (работ, услуг).

https://tass.ru/ekonomika/14412009

SAP планирует уход из РФ, что серьезно повышает приоритетность поиска ответа на вызов в отношении отключения сервиса "Russia Cloud Residency Solution" (в контексте локализации в России баз с ПД).