Ашманов Игорь Станиславович

Генеральный директор компании «Ашманов и партнеры», президент компании «Крибрум»

Законопроект по ужесточению контроля за использованием персональных данных - своевременный и полезный

23 апреля 2022 770 просмотров Предлагаемый законопроект по внесению уточнений и дополнений в 152-ФЗ о персональных данных нужно приветствовать, эта тема давно назрела. Во многом предлагаемые новации совпадают с положениями нашей Концепции защиты прав граждан в цифровом пространстве, разработанной Советом по развитию гражданского общества и правам человека по поручению Президента, в первую очередь в части ограничения на использование персональных данных (в том числе биометрических) несовершеннолетних, а также в части возможности для гражданина отказаться от передачи данных и потребовать прекратить использование их оператором.

Также очень хорошо, что наконец появилась норма о том, что гражданин может отказаться передавать свои биометрические данные оператору, и это не может быть основанием для отказа в предоставлении услуги (например, банковской). В последнее время многие российские банки, например, пытались сделать биометрию практически обязательной.
 
Тем не менее, законопроект, по моему мнению, – только первый шаг по приведению ситуации с персональными данными в порядок. В частности, некоторые нормы законопроекта представляются слабыми.

Например, основанием для запрета гражданином использовать свои ПДн названы устарелость, неточность данных или незаконность их получения, но нет такой очевидной причины, как простое нежелание гражданина передавать или желание отозвать право обработки своих данных.
 
В части про трансграничную передачу данных, на мой взгляд, оставлена лазейка в формулировке «иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных». Понятно, что при желании (например, материально мотивированном) под понятие «адекватной защиты» можно подвести что угодно, например, формальные нормы закона о ПДн в каком-то государстве, где на практике они нарушаются враждебными России спецслужбами. Само по себе изучение законодательства зарубежных государств на предмет «адекватности», а также проверка его реального исполнения на практике как государствами, так и частными организациями представляется очень сложной и трудно реализуемой на практике.
 
Мне также кажется, что в области сбора и использования таких крайне чувствительных персональных данных, как биометрии, нужны гораздо более жёсткие и детально прописанные  нормы, потому что этот сбор зачастую происходит не в результате договорного/правового взаимодействия гражданина с оператором ПДн, а в результате бесконтактного и безакцептного сбора биометрических данных на улицах, на транспорте, в помещениях и т.п., без разрешения и даже ведома гражданина, то есть кем попало, по сути, с последующим бесконтрольным использованием таких очень чувствительных данных для самых разных целей, в том числе чисто коммерческих или даже мошеннических.
 
То есть гражданин может не только не иметь никаких правовых и договорных отношений с оператором, собравшим его биометрию, но и даже не знать о факте его существования, как и о факте сбора и использования биометрии. Подобный бесконтактный и неправовой сбор данных должен быть отрегулирован и в большинстве случаев – запрещён.
 
Возникают также вопросы ответственности за нарушения данных норм законов: до сих пор у нас ответственность за незаконный сбор, использование, перепродажу или халатность, приведшую к утечкам персональных данных является либо смехотворной, либо отсутствующей. Да и правоприменительная практика по данному виду правонарушений  практически отсутствует как в судах, так и в публичном поле. Это явное отсутствие ответственности в этой «серой зоне» и привело к гигантской волне краж ПДн и мошенничеств на их основе, захлестнувшей страну в последние 3 года. Как операторы, так и их персонал, работающий с ПДн граждан, сейчас чувствуют абсолютную безнаказанность.
 
Здесь также нужно что-то делать с законодательством. Норма законопроекта, требующая сообщать об утечках и инцидентах – очень важная, но хотелось бы понять, в каком законе (например, в УК) будет прописана ответственность за утечку, сознательную или в результате халатности.

В целом же предлагаемый законопроект – очень своевременный и полезный.