Дайджест значимых событий в сфере защиты персональных данных в РФ
Дата публикации: 11 апреля 2023
Обработка персональных данных (ПД) — это практически любое действие, связанное с их использованием. В понятие обработки ПД входят сбор, накопление, систематизация, хранение, обновление, использование, передача, удаление и другие действия.
В кластере «РАЭК / Privacy & Legal Innovation» следят за инфоповодами в области защиты персональных данных и Legal Innovation и делятся той информацией, которая поможет быть в курсе важных обновлений.
Делимся с вами дайджестом значимых событий и инициатив, которые влияют на регулирование защиты персональных данных РФ. Здесь собрали события за 1 квартал 2023 года.
Новые пункты в нормативно-правовых документах, регулирующих ПД в РФ:
Федеральный закон от 03.04.2023 № 107-ФЗ, согласно которому сроки хранения персональных данных о пассажирах будут согласовываться с ФСБ и МВД
Ранее законом уже было предусмотрено, что в РФ создается единая госинформсистема обеспечения транспортной безопасности. Она должна состоять, в том числе из автоматизированных централизованных баз ПД о пассажирах и работниках транспорта. Такие базы формируются при внутренних и международных перевозках по воздуху, железной дороге, на авто, а также морским и иным водным транспортом. Также в России была установлена обязанность создания ЕГИС обеспечения транспортной безопасности, включающей автоматизированные базы данных пассажиров и персонала всех видов транспорта. Теперь требования к созданию и ведению этих баз данных уточняются. Новый закон предписывает Министерству транспорта РФ определять порядок формирования и ведения, срок хранения и предоставления информации в базах данных о работниках и пассажирах. Закон вступает в силу 1 марта 2024 года, за исключением некоторых положений.
Приказ Минздрава России от 01.03.2023 № 91н о порядке выдачи приборов по проекту "Персональные медпомощники"
Минздрав России утвердил порядок выдачи пациентам диагностических приборов, которые смогут дистанционно отслеживать здоровье людей, страдающих хроническими неинфекционными заболеваниями, в рамках пилотного проекта "Персональные медицинские помощники". Пациент получает соответствующий прибор по решению лечащего врача, который счел необходимым дистанционно следить за здоровьем человека и получать данные о его состоянии. Если гражданин или его законный представитель согласен участвовать в наблюдении, уполномоченное лицо медорганизации заключает с ним гражданско-правовой договор для передачи изделия. По завершении дистанционного наблюдения гаджет нужно вернуть в поликлинику или больницу.
Законопроект об автоматическом информировании граждан через портал госуслуг о взятом на их имя кредите или микрозайме
Предлагается обязать кредитные и микрофинансовые организации уведомлять заемщиков о заключении договоров потребительского кредита (займа) и микрозайма путем направления уведомления через государственный портал "Госуслуги". По мнению разработчиков законопроекта, такие меры помогут защитить людей от мошенников — например, в случаях, когда банки выдают кредиты без согласия человека. К тому же, для уведомления о кредите могут быть предоставлены персональные данные, не связанные с самим заемщиком. Тогда человек, на имя которого выдан кредит, вообще не имеет возможности узнать об этом и принять необходимые меры.
Законопроект о внесении изменений в статьи 1334 и 1335.1 Гражданского кодекса РФ
Проект изменений Гражданского кодекса РФ направлен на улучшение механизма защиты прав изготовителя базы данных и предполагающий установление критериев существенности, неоднократности использования, извлечения материалов. Материалами баз данных часто являются персональные данные (ПД), в том числе чувствительные, размещённые в базе данных самим субъектом ПД. При этом общее ограничение на использования базы данных касается исключительно охраны авторских прав. Крайне важно в этой связи ограничить возможности использования обнародованных баз данных в незаконных или прямо запрещённых изготовителем целях. Это позволит избежать нарушения прав пользователей баз данных, а также позволит использовать существующий правовой механизм для борьбы с незаконным использованием данных пользователей.
Проект постановления Правительства РФ о порядке предоставления доступа к информационным системам и базам данных, используемым для получения, хранения, обработки и передачи заказов легкового такси
Служба заказа легкового такси будет предоставлять спецслужбе «круглосуточный удаленный доступ к информационным системам и базам данных, используемым для получения, хранения, обработки и передачи заказов». В случае, если агрегатор не сможет выполнить запрос ФСБ, то он должен обосновать причину невозможности предоставления данных и проинформировать службу о сроках, необходимых для выполнения запроса. Служба заказа такси должна будет предоставить информацию ФСБ в течение десяти рабочих дней, однако при наличии в запросе пометки «срочно» — в течение трех рабочих дней.
Инициатива об использовании оборудования телеком-провайдеров для ограничения доступа к средствам анонимизации
Роскомнадзор предлагает использовать оборудование, установленное у провайдеров в рамках закона о суверенном рунете, для ограничения доступа к средствам анонимизации. К таковым ведомство отдельно отнесло сервисы по использованию виртуальных номеров телефона. Под описание подпадают и номера на платформе Павла Дурова Fragment, которые можно покупать за криптовалюту для анонимной регистрации в Telegram. Юристы напоминают, что само по себе использование виртуальных номеров не противозаконно.
Инициатива об ограничении круга операторов персональных данных россиян
Персональные данные россиян должны быть доступны для хранения десяти-двадцати уполномоченным организациям, считает член Совета при президенте РФ по развитию гражданского общества и прав человека Игорь Ашманов. Он отметил, что есть организации, которым необходимо собирать данные, к ним член СПЧ отнес крупные банки, авиа- и железнодорожные компании.
С моей точки зрения, вместо десятков тысяч операторов персональных данных у нас в стране должно остаться всего 10-20 крупных уполномоченных организаций с гораздо большими требованиями к защите персональных данных, а все остальные, кто хочет просто карточку скидочную выдать, должны брать у них обезличенные данные или к ним обращаться для верификации пользователя.
Также были обновления в следующих нормативно-правовых документах, регулирующих ПД в РФ:
- Постановление Правительства РФ от 17.03.2023 № 405 о правилах получения согласия на обработку биометрических персональных данных
- Постановление Правительства РФ от 24.03.2023 № 451 о правилах направления запроса оператору ЕБС о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных
- Постановление Правительства РФ от 27.03.2023 № 478 о правилах отказа от сбора и размещения биометрических персональных данных
- Инициатива по созданию Цифрового кодекса для защиты прав граждан в цифровой сфере
Подробнее о нововведениях и обновлениях читайте по ссылке:
Кластер «РАЭК / Privacy&Legal Innovation» регулярно собирает и помогает распространять полезную информацию и сообщает новости сферы. Больше новостей о новостях, связанных с регулированием персональных данных в России можно узнать в телеграм-канале Privacy Advocates. В нем вы найдете инсайты и секреты комплаенса по защите персональных данных, лайфхаки на проверках Роскомнадзора, информацию о трансграничной передаче и локализации ПД, регулировании биометрии.