По данным Роскомнадзора, за прошедшие месяцы этого года было зафиксировано порядка 60 крупных утечек, содержащих свыше 230 млн записей с личной информацией россиян. При передаче персональных данных за рубеж было сложно контролировать их использование и обеспечивать их безопасность. Новые проекты постановлений Минцифры облегчат эту задачу. Под запрет теперь попадет передача данных россиян запрещенным на территории РФ организациям, а также иностранным НКО, признанным нежелательными. Когда и каким образом заработает нововведение — в материале «Известий».
Ограничения ради безопасности
В последние месяцы участились случаи утечек персональных данных россиян. Кроме того, растет число хакерских атак из так называемого внешнего контура, особенно из недружественных стран. Одна из причин утечек заключается в том, что до сих пор не все компании и организации уведомляли госорганы о трансграничной передаче данных, это было делом необязательным.
Однако со следующего года власти намерены начать активно противостоять различным запрещенным и нежелательным организациям, персональные данные для которых — ключевой актив. Среди них, например, Meta (признана РФ экстремистской) — владелец соцсетей Facebook и Instagram. Последние решения дают возможность взять под контроль передачу данных россиян за рубеж ради их же безопасности.
Новшество касается стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также стран, которые включены Роскомнадзором в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных.
— В ближайшее время в перечень будет включен еще ряд стран, в том числе Китай и Индия, — рассказали «Известиям» в Роскомнадзоре.
Минцифры сформировало три проекта постановлений правительства, которые устанавливают порядок принятия решений о запрещении или ограничении трансграничной передачи персональных данных. Предполагается, что операторы персональных данных будут уведомлять Роскомнадзор о намерении осуществлять такую деятельность, речь не идет о передаче данных по каждому пользователю, рассказали «Известиям» в ведомстве. По итогам общественного обсуждения проекты постановлений могут быть скорректированы, рассказали «Известиям» в Минцифры и Роскомнадзоре.
— Мы не вводим дополнительных обязанностей для операторов, а лишь конкретизируем положения закона в части ограничения трансграничной передачи данных и предлагаем исключительные случаи, — говорят в Минцифры. — По итогам общественного обсуждения проекты документов могут быть скорректированы.
Новый порядок трансграничной передачи данных будет применяться с 1 марта 2023 года.
— Уведомлять необходимо один раз для каждой страны, в которую будут передаваться данные, а не о каждой трансакции, — рассказали «Известиям» в Роскомнадзоре. — Уточнять уведомление надо будет, только если поменяется цель или состав передаваемых данных.
Политические угрозы
Новые изменения в законодательство относительно порядка работы с трансграничной передачей данных эксперты называют своевременными. Главным образом это связано с обеспечением безопасности граждан за рубежом в разгар санкций и растущей русофобии. Уже хорошо известны случаи реализации физических угроз, с которыми сталкиваются россияне.
— Попадание персональных данных, по которым можно составить цифровой портрет человека и отследить его перемещения, понять политическую позицию, обостряет данные угрозы, — отмечает научный сотрудник Института международной экономики и финансов Всероссийской академии внешней торговли Каринэ Хаджи. — Регулятор постарался свести к минимуму сложности выполнения новых предписаний для бизнеса. Что необходимо теперь, это активная разъяснительная работа по порядку исполнения предлагаемых требований, а также всех нововведений в области защиты персональных данных, вступивших в силу осенью этого года, чтобы упростить бизнесу соблюдение новых требований.
По словам эксперта в сфере страхования киберрисков, исполнительного директора компании «Смарт-Софт» Сергея Черномашенцева, новый регламент оповещает о «последнем предупреждении». Фактически и раньше можно было сшить дело, отмечает он, но это решал судья, а сейчас Минцифры говорит: мы не шутим, теперь всё всерьез. Раньше, по его словам, просто блокировали отдельные компании, которые наотрез отказывались хранить данные россиян на территории России по причине того, что им не хочется поддерживать местную инфраструктуру, или того, что они не доверяют российским дата-центрам. Но сейчас не останется лазеек для того, чтобы обмануть закон, подчеркивает специалист.
С 1 марта 2023 года передача данных за рубеж может быть осуществлена, но для этого нужна веская необходимость и строго согласованная цель. То есть сейчас при любой передаче оператор должен будет сначала подать заявку, а потом ждать или одобрения, или отказа. Если заявки не будут копиться, как лавина, ведомство не будет отзывать уже выданные разрешения, замечает Сергей Черномашенцев.
Ужесточение стандартов и уровня требований к компаниям и организациям по обеспечению защиты персональных данных пользователей — тенденция общемировая. Причина этого — как рост числа утечек данных во всем мире, так и увеличение объема скомпрометированных данных. Так, по сведениям InfoWatch, в первой половине текущего года число утечек информации (по сравнению с аналогичным полугодием прошлого года) выросло почти вдвое в мире и в полтора раза в РФ. Объем украденных данных в нашей стране вырос в 16,75 раза и составил 187,6 млн записей, в том числе в крупнейших компаниях.
Как будет действовать новый закон
По новым правилам оператор будет обязан до подачи уведомления получить от органов власти иностранного государства, иностранных физлиц и юрлиц, которым планируется трансграничная передача персональных данных, весьма существенный пакет сведений, которые впоследствии будут проверяться Роскомнадзором. Кроме того, вводится новая норма, согласно которой может быть принято решение о внесудебном запрещении или об ограничении трансграничной передачи персональных данных.
— Под новые ограничения в первую очередь попадут филиалы международных компаний, работающие в РФ, туристический бизнес, компании, ведущие бизнес через интернет, — разъяснил «Известиям» ведущий консультант-аналитик АО «Элвис-Плюс» Михаил Булаев. — Различные нелегальные организации, которые могут осуществлять сбор и трансграничную передачу персональных данных, и так были вне закона.
В случае запрета на трансграничную передачу персональных данных, который будет осуществляться во внесудебном порядке, оператор будет нести весьма существенные убытки вплоть до прекращения его деятельности, отмечает Михаил Булаев.
Нововведения Минцифры в сфере регулирования трансграничной передачи персональных данных обозначают, по словам управляющего партнера юридической фирмы «Надмитов, Иванов и партнеры» Александра Надмитова, следующие риски:
— уменьшение доли иностранных компаний на российском рынке;
— падение ВЭД-показателей бизнеса, деятельность которого связана с трансграничной торговлей, банковскими операциями, мессенджерами и так далее.
По словам юристов, пока неясным остается то, в какие сроки деятельность операторов должна быть приведена в соответствие с новым регулированием.
Сложновыполнимым условием для иностранных операторов и обработчиков, по прогнозам старшего консультанта по защите персональных данных компании Data Privacy Office Дарьи Заграничновой, будет требование о локализации данных российских граждан на территории РФ. В настоящее время можно наблюдать активную практику Роскомнадзора по наложению штрафов за невыполнение этого требования. Общая сумма штрафов за 2020–2022 годы уже приближается к 100 млн рублей.
Поможет ли новый закон защитить данные россиян
По словам управляющего партнера юридической компании «Зарцын и партнеры» Людмилы Харитоновой, подверженная угрозам трансграничная передача данных осуществляется бизнесом обычно в двух случаях: первый — это передача третьим лицам для дальнейшего оказания услуг (например, для проведения рассылок или маркетинга), второй — это передача внутри холдинга или аффилированным компаниям. В таком случае базы с персональными данными передаются компаниям за рубежом. Очевидно, что на текущий момент превалирует второй случай, так как бизнес активно создает компании вне РФ и передает базы с персональными данными как актив, отмечает юрист.
— Такая передача не несет существенной угрозы самим персональным данным, но очевидно способствует оттоку бизнеса, — полагает Людмила Харитонова. — Ведь далее работа с данными продолжается, но уже не в России. Стоит предположить, что новые меры в большей мере нацелены на создание трудностей в таком уходе.
По ее мнению, до текущего момента основной проблемой была передача данных в страны, которые, по мнению РКН, не осуществляли адекватной защиты данных. Эксперт отмечает, что средний и малый бизнес до сих пор не очень-то вел учет стран, в которые передавал данные.
— Делая рекламные рассылки через иностранный сервис, почти никто не утруждался проверить, где окажутся данные, — говорит Людмила Харитонова. — Конечно, ряд таких сервисов впоследствии допускал утечку данных. Возможно, создание более жестких правил заставит предпринимателей фиксировать такую передачу. Но насколько возможно со стороны РКН реально контролировать это массово, большой вопрос.
Кроме того, в проектах постановлений Минцифры пока не очень понятно, как регулирующий орган сможет запретить трансграничную передачу данных уже после факта ее совершения, как компании смогут обеспечить удаление уже переданных персональных данных за рубежом, отмечает директор по консалтингу ГК InfoWatch Ирина Зиновкина.
Еще одна проблема, полагает руководитель департамента цифровых решений агентства «Полилог» Людмила Богатырева, теперь российский бизнес получит дополнительную бюрократическую нагрузку и риски при взаимодействии с международными компаниями и IT-сервисами.