Роскомнадзор предложил новые стандарты защиты персональных данных.
Роскомнадзор выступил с предложением разработать и законодательно закрепить обязательные стандарты работы с персональными данными, которые должны будут соблюдать все участники оборота этих данных. Об этом сообщил представитель ведомства в интервью РБК , отметив, что инициатива пока находится на стадии предложения.
Согласно пояснениям Роскомнадзора, организации смогут собирать только те данные, которые необходимы для выполнения конкретных задач, и такой сбор будет возможен исключительно на основании закона, а не по согласию граждан, как это происходит сейчас. Вместо того чтобы получать данные напрямую от граждан, организации смогут обращаться к уполномоченным органам, если это потребуется для выполнения их функций. Представитель ведомства также отметил, что в настоящее время персональные данные нередко собираются «на всякий случай», без четкой цели их использования.
Оператором персональных данных считается любое лицо или организация, обрабатывающие такие данные. По словам главы комитета Госдумы по информационной политике Александра Хинштейна, в России насчитывается более 5 миллионов юридических лиц, включая индивидуальных предпринимателей, которые обрабатывают персональные данные. Однако, как отметил Хинштейн, далеко не все из них могут обеспечить надежную защиту этих данных. В связи с этим депутат предложил создать институт доверенных операторов, которые смогут хранить персональные данные для тех организаций, которые не могут сделать это самостоятельно. Доверенные операторы будут находиться под контролем государства, а доступ к хранимым данным другие участники рынка смогут получать через защищенные каналы, пояснил он.
Персональные данные, согласно российскому законодательству, подразделяются на несколько категорий: общие данные (ФИО, дата рождения, адрес), специальные данные (например, расовая принадлежность, религия, информация о здоровье), биометрические данные (отпечатки пальцев, ДНК) и другие, такие как местоположение и членство в организациях. На сегодняшний день основным основанием для сбора данных является согласие пользователя, хотя существует также возможность сбора данных на основании законодательства или для исполнения договорных обязательств.
За нарушение правил обработки персональных данных предусмотрены серьезные санкции. Штрафы для физических лиц могут достигать 300 тысяч рублей, а для юридических лиц — до 1 миллиона рублей. Также предусмотрена уголовная ответственность, вплоть до лишения свободы на срок до пяти лет. В 2024 году Госдума рассмотрит поправки, которые могут усилить как административную, так и уголовную ответственность за утечки персональных данных, что уже вызвало критику со стороны представителей бизнеса.
Предложение Роскомнадзора о введении обязательных стандартов работы с персональными данными может оказать значительное влияние на бизнес-сообщество. По существующим правилам стандартизации в России, национальные стандарты являются добровольными, а обязательными могут быть только те, что включены в технические регламенты. Для того чтобы новые стандарты обработки персональных данных стали обязательными, потребуется либо внесение изменений в законодательство, либо создание специального технического регламента.
Кроме того, Роскомнадзор, будучи надзорным органом, не обладает полномочиями для разработки таких стандартов, что предполагает необходимость привлечения других уполномоченных органов для создания и внедрения соответствующих нормативов.
Представители IT-индустрии указывают на сложность универсального подхода к обработке данных. Разные компании работают с совершенно различными объемами и типами информации: от небольших интернет-магазинов до крупных технологических гигантов, обслуживающих миллионы пользователей. Унификация стандартов для таких разных участников рынка может привести к проблемам с внедрением новых сервисов и ограничению возможностей бизнеса по работе с данными.
Кроме того, введение обязательных стандартов может значительно усложнить работу компаний и увеличить их расходы на соответствие новым требованиям. Особенно это может коснуться малого и среднего бизнеса, у которого может не быть достаточных ресурсов для обеспечения требуемого уровня защиты данных.
Однако инициатива Роскомнадзора по созданию стандартов обработки данных вписывается в мировую тенденцию усиления защиты персональных данных. Введение более строгих правил, аналогичных тем, что используются в европейском законодательстве (GDPR), может привести к снижению рисков утечек данных и повышению прозрачности в деятельности компаний.
При этом важно учитывать, что адаптация к новым правилам потребует времени и усилий со стороны бизнеса. Особенно сложным может оказаться вопрос минимизации объема собираемых данных, поскольку это требует тщательной оценки, какие именно данные необходимы для конкретных бизнес-задач.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале