Спикер Совета Федерации Валентина Матвиенко вместе с сенатором Русланом Гатаровым и другими членами верхней палаты парламента представили свои поправки в Закон «О персональных данных». Поправки призваны уточнить ряд понятий действующего закона, а также сделать более эффективной борьбу с нарушениями в области персональных данных.
Так, операторы персональных данных (то есть организации, собирающие информацию о физических лицах) обязаны информировать уполномоченный орган — Роскомнадзор — о случаях утечек данных. Сейчас у операторов такой обязанности нет, а самостоятельно признаваться в этом они не хотят, отмечают авторы документа. Поэтому субъекты персональных данных могут быть не в курсе относительно утечек информации о них.
Также Роскомнадзор должен получить право возбуждать дела об административных правонарушениях за незаконное использование персональных данных (сейчас такое право есть только у Генпрокуратуры). Гатаров также выступил за то, чтобы в дальнейшем в Кодексе об административных правонарушениях повысить размер штрафов за нарушение персональных данных с нескольких тысяч рублей до «адекватного уровня».
В остальном законопроект уточняет различные нормы. Так, вводится понятие обработчика персональных данных. Это лицо, которому оператор персональных данных поручает обработку информации с согласия субъекта этих данных. При этом заключения договора на обработку между субъектом и оператором достаточно для передачи сведений обработчику — заключать с ним отдельное соглашение, как этого требует нынешний закон, не надо. Ответственность же за нарушения обработки перед субъектом персональных данных несет оператор, а обработчик, в свою очередь — перед оператором.
Законопроект легитимизирует получение разрешения на обработку персональных данных в дистанционной форме, в том числе и с помощью электронных средств. В существующей редакции из-за нечеткости формулировок у операторов, получающих согласие субъектов через интернет, могут возникнуть проблемы.
Также законопроект уточняет понятие биометрических персональных данных. Существующие в законе формулировки слишком расплывчаты: например, пропуск с фотографией либо фотографию на корпоративном портале можно тоже принять за биометрические данные. Как следствие, соответствующей организации придется применять повышенные меры защиты и получать письменное согласие на их обработку. Теперь же к биометрическим данным относятся только те, что характеризуют физиологические и биологические человека и используются для его автоматической идентификации.
Снимается неточность в отношении персональных данных, которые стали общедоступными по воле самого субъекта либо в соответствие с законодательством. Оператор не должен защищать такие данные ровно как и подавать уведомление об этом. Для информации, которая в соответствие с различными законами признана конфиденциальной, обработка будет осуществляться согласно нормам этих законов. Если же в соответствующих законах об этом не сказано, обработка осуществляется согласно нормам Закона «О персональных данных».
Также в тех сферах, где соответствующие уполномоченные органы еще не приняли нормативные акты, определяющие угрозы для защиты персональных данных, операторы вправе разрабатывать собственные локальные акты с перечнем угроз. При этом они должы быть согласованы с ФСБ и ФСТЭК.
Напомним, действующий закон был принят в 2006 г, при этом обязанность операторов персональных данных осуществлять меры по их защите в соответствие с требованиями ФСБ и ФСТЭК вступила в силу только в 2011 г. Причем тогда же планировалась значительная либерализация документа: в I чтении ГосДума приняла поправки, согласно которым ФСБ и ФСТЭК регулируют защиту персональных данных только в государственных и муниципальных информационных системах. Остальные же организации вправе сами выбирать меры защиты. Но уже в ходе II чтения данная норма была изменена.