Госдума приняла закон о возможности запрета передачи за границу персональных данных россиян

Госдума в среду приняла в третьем, окончательном чтении закон об обязанности операторов персональных данных информировать об инцидентах с принадлежащими им базами персональных данных, а также о регулировании вопросов передачи персональных данных за границу.

С документом ознакомился "Интерфакс".

Действующим законодательством практически не регулируется трансграничная передача персональных данных, что создает существенную угрозу в условиях текущей внешнеполитической ситуации, отметили авторы закона.

В частности, доступность скомпрометированных баз персональных данных через сеть интернет является одной из ключевых проблем защиты прав субъектов персональных данных, сказал ранее председатель комитета Госдумы по информационной политике и соавтор проекта закона Александр Хинштейн. По его словам, как правило, такие сервисы размещаются на иностранных интернет-площадках, на которые требования российского законодательства в области персональных данных не распространяются.

Закон устанавливает условия пресечения трансграничной передачи персональных данных на территорию стран, не обеспечивающих их адекватную защиту, или в недружественные страны.

Согласно закону, правительство РФ сможет определять категории операторов связи, на которых не будет распространяться мораторий на трансграничную передачу персональных данных. Так, например, Китай будет включен в перечень стран, где осуществляется адекватная защита персональных данных, таким образом, операторам нужно будет просто уведомить Роскомнадзор о трансграничной передаче данных в эту страну, сообщил ранее Хинштейн.

Предусматривается, что мораторий на трансграничную передачу не распространяется, если передать данные нужно для защиты жизни, здоровья, жизненно важных интересов граждан. Кроме того, правительство может определить категории операторов, на которых не распространяется мораторий.

Согласно закону, правительство определит порядок подготовки решения о запрете на трансграничную передачу как на основании уведомлений, так и по представлениям ФСБ, Минобороны, МИД и уполномоченных президентом или правительством ведомств.

Также предусматривается экстерриториальность применения российского закона о персональных данных.

Помимо оператора персональных данных, административную ответственность предлагается возложить на третьих лиц, действия либо бездействие которых повлекли нарушение прав граждан.

На оператора возлагается обязанность информировать Роскомнадзор о деятельности по обработке персональных данных, включая информацию о правовых основаниях, информационных системах персональных данных, порядке осуществления трансграничной передачи персональных данных и прочих положениях, применительно к каждой цели обработки персональных данных.

В части трансграничной передачи персональных данных закон сокращает срок рассмотрения Роскомнадзором уведомления от оператора с 30 до 10 рабочих дней.

Кроме того, согласно закону, не надо будет направлять в Роскомнадзор наиболее объемные материалы, например, такие, как материалы об оценке оператором своих зарубежных контрагентов, а также список таких контрагентов. Однако Роскомнадзор имеет право запросить отдельно указанные сведения.

Закон также касается информирования об утечках персональных данных. Оператор будет обязан проинформировать в течение суток с момента выявления утечки, то есть, когда об утечке стало известно оператору или Роскомнадзору, а не с момента самой утечки.

В части регулирования аутсорсинга обработки персональных данных оператор получит возможность включать в договор поручения требования о соблюдении конфиденциальности и безопасности персональных данных, а также требовать от привлекаемого лица подтверждать соблюдение установленных законом требований, в том числе до фактической передачи персональных данных.

В части согласования актов по обработке персональных данных с Минцифры и Роскомнадзором закон наделяет правом государственные органы, Банк России и органы местного самоуправления выпускать акты по отдельным вопросам, касающимся обработки персональных данных, если это предусмотрено федеральными законами. Речь идет о согласовании только той обработки, которая несет в себе повышенный риск нарушения прав субъектов персональных данных.

Закон предусматривает, что распространение персональных данных в интернете допускается только с согласия субъекта персональных данных.

Предусматривается также, что срок ответа операторов на запросы гражданина или Роскомнадзора сокращен с 30 календарных дней до 10 рабочих дней. Вместе с тем предусмотрена возможность продления срока ответа, но не более, чем на 5 рабочих дней, в случае направления оператором в адрес субъекта персональных данных и Роскомнадзора мотивированного уведомления с указанием причин продления срока.

Закон устанавливает также возможность получения персональных данных из единого госреестра недвижимости (ЕГРН) только с согласия самого владельца недвижимости.