Государство не хочет извещать Роскомнадзор о передаче персональных данных за рубеж
Правительство раскритиковало проект депутатов ГосдумыГосорганы и госкорпорации должны быть освобождены от обязанности уведомлять Роскомнадзор (РКН) при осуществлении трансграничной передачи данных. Это следует из отзыва правительства на проект поправок к закону «О персональных данных», который был принят в первом чтении на пленарном заседании Госдумы 24 мая (опубликован в электронной базе законопроектов парламента).
Законопроект разработан группой депутатов во главе с председателем комитета Госдумы по информполитике Александром Хинштейном. Он обязывает всех операторов персональных данных (ПД) информировать РКН о намерении передать данные в другие страны. Регулятор получит право запретить передачу в целях «защиты основ конституционного строя, нравственности, здоровья, прав и обеспечения безопасности государства».
Также из принятой в первом чтении версии поправок следует, что иностранные компании, занимающиеся сбором, обработкой и хранением ПД россиян, будут обязаны соблюдать в отношении их нормы российского законодательства. Законопроект обязывает операторов в 30-дневный срок прекратить обработку ПД, если этого потребует их владелец, либо направить ему мотивированный отказ.
Правительство в отзыве отмечает, что определение понятия «трансграничная передача ПД» следует доработать. Нужно исключить препятствия в передаче данных в интересах органов государственной власти РФ, госкорпораций и «иных структур, образованных в соответствии с российским законодательством и находящихся под юрисдикцией РФ на территории иностранного государства», поясняется в документе.
Представитель аппарата правительства рассказал «Ведомостям», что если понятие трансграничной передачи ПД будет уточнено, то уведомлять РКН в случаях передачи данных в адрес посольства России и «иных организаций, созданных на основании законодательства РФ» не потребуется. Аналогичные комментарии дали в Минцифры. На вопрос о том, коснется ли это нововведение госкомпаний, например «Сбера» и «Газпрома», собеседники не ответили. «Ведомости» также направили запрос Хинштейну.
Согласно отзыву, отправлять за рубеж без уведомления РКН предлагается не только ПД для работы посольств и военных баз, но и госкорпораций, т. е. «Роскосмоса», «Росатома» и др., отмечает ведущий эксперт по защите ПД консалтинговой компании Б-152 Максим Лагутин. По мнению независимого эксперта по информационной безопасности Алексея Лукацкого, такое исключение связано с тем, что правительство не хочет создавать проблем для госорганов и госкорпораций и «делать из РКН царя».
«Почему условное Россотрудничество должно согласовывать отправку данных с РКН? Оно и так работает за рубежом, и там это постоянная практика», – поясняет он.
Но из отзыва правительства не понятно, нужно ли освободить от требования по уведомлению РКН госкомпании, отмечают опрошенные «Ведомостями» эксперты. Лукацкий и Лагутин допускают, что они могут подпадать под формулировку «и иных структур, образованных в соответствии с российским законодательством». Глава АНО «Информационная культура» Иван Бегтин, в свою очередь, считает, что замечание точно касается госкомпаний, таких как «Сбер» и «Газпром». «Государство усиливает контроль за всеми, за кем нет прямого контроля», – объяснил он «Ведомостям».
Ранее исключить из новой инициативы по защите ПД требование об уведомлении РКН просили в Ассоциации больших данных (объединяет МТС, «Мегафон», Сбербанк, «Яндекс», VK, Газпромбанк и др.) и Ассоциации банков России. Бизнес опасается, что это приведет к затруднению трансграничной торговли, в частности с Китаем, писал «Коммерсантъ». Банки полагают, что им станет труднее проводить транзакции, так как придется предупреждать РКН о каждом платеже за рубеж, уточнил Лагутин.
Представитель Минцифры уточнил, что предложенный законопроектом механизм трансграничной передачи не подразумевает направление уведомления в РКН при совершении каждой транзакции, как и не ограничивает передачу ПД в страны, обеспечивающие адекватную защиту.
Также в своем отзыве правительство требует проработать предложения о сокращении сроков, устанавливаемых частями 1, 2 и 4 статьи 20 ФЗ «О персональных данных». Речь идет о том, что срок ответа операторов на запросы госорганов и граждан по вопросам, связанным с незаконной обработкой ПД, предлагается сократить с 30 до 10 дней.
Представитель аппарата правительства пояснил, что это положение в отзыв добавлено по многочисленным обращениям бизнеса, считающего, что 10 рабочих дней недостаточно для предоставления информации. «Предлагается разрешить операторам ПД увеличить указанный срок в 10 рабочих дней дополнительно на пять рабочих дней при условии мотивированного уведомления субъекта ПД или РКН с указанием причин продления», – уточнил собеседник.
Правительство также считает, что в связи с предусматриваемым законопроектом порядком предоставления данных из Единого государственного реестра недвижимости (ЕГРН) нужно предусмотреть внесение изменений в порядок их предоставления, утвержденный Росреестром. В законопроекте предложено предоставлять данные из ЕГРН третьим лицам только с согласия их владельца или по запросу нотариуса. В законопроекте нужно будет прописывать механизм предоставления выписок из ЕГРН по запросу нотариуса, считают в правительстве.