На официальном портале правовой информации 14 июля 2022 года были опубликованы два федеральных закона, подписанные президентом.

Во-первых, Закон № 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”».

Во-вторых, Закон № 325-ФЗ «О внесении изменений в статьи 14 и 14-1 Федерального закона “Об информации, информационных технологиях и о защите информации” и статью 5 Федерального закона “О внесении изменений в отдельные законодательные акты Российской Федерации”».

Суть правок в ФЗ-152

За разъяснениями по этому вопросу «Б.О» обратился к директору по консалтингу ГК InfoWatch Ирине Зиновкиной.

«Принятые правки к 152-ФЗ несут в себе ряд значительных изменений. В первую очередь это то, что касается трансграничной передачи персональных данных (ПДн) и в принципе обработки персональных данных граждан РФ иностранными государствами, организациями и физлицами. Изменения в этой части коснулись даже первой статьи Закона, в которой теперь четко прописано, что положения ФЗ распространяются в том числе на обработку ПДн граждан РФ иностранными структурами. Это означает, что иностранные операторы должны соответствовать всем требованиям данного закона», — разъясняет Ирина Зиновкина.

Кроме того, полностью заменена ст. 12, регламентирующая трансграничную передачу данных. Из самого интересного здесь стоит отметить то, что теперь операторы обязаны уведомлять уполномоченный орган по защите прав субъектов ПДн о планируемой трансграничной передаче. В свою очередь, уполномоченный орган по защите прав субъектов персональных данных может запретить или ограничить подобную передачу по ряду перечисленных в Законе причин (например, если это требуется для защиты основ конституционного строя РФ).

Оператор может совершать трансграничную передачу на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы, с момента уведомления. А если в дальнейшем подобная передача будет запрещена, ему будет необходимо обеспечить уничтожение переданных ПДн граждан РФ на принимающей иностранной стороне. Если передача будет происходить в страну, которая в данную Конвенцию не входит, то необходимо дожидаться принятия решения со стороны уполномоченного органа. Однако не резоннее ли дожидаться решения уполномоченного органа в любом случае?

Положения ФЗ распространяются в том числе на обработку ПДн граждан РФ иностранными структурами. Это означает, что иностранные операторы должны соответствовать всем требованиям данного закона

Помимо вопросов взаимодействия с иностранными организациями в Законе появилось требование об уведомлении о компьютерных инцидентах, связанных с обработкой персональных данных (например, об утечках) через ГосСОПКу (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак), которая была сформирована в рамках 187-ФЗ. Причем сроки уведомления довольно жестко регламентированы: в течение 24 часов — о произошедшем инциденте и в течение 72 часов — о результатах проведенного расследования. Уполномоченный орган по защите прав субъектов персональных данных ведет реестр учета подобных инцидентов, а в дальнейшем данная информация передается в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.

Кроме того, правки есть в статьях, регулирующих права субъектов ПДн. Так, в договорах теперь нельзя ограничивать права субъектов. Кроме того, предоставление биометрических персональных данных не может быть обязательным (за исключением некоторых случаев, например при осуществлении правосудия).

Взаимодействие с ГосСОПКой — не новость для организаций, которые попали под действие Закона № 187-ФЗ, однако выстраивание новых процессов может занять существенное время, особенно если в организации в большом объеме осуществляется трансграничная передача персональных данных граждан РФ.

ЕБС также затронули изменения

Кроме изменений в ФЗ-152 произошли изменения в регулировании режима оборота данных в государственных информационных системах (325-ФЗ). В отличие от неожиданной редакции ФЗ-152, о переменах в области биометрии говорили давно.

Учитывая новость Банка России о необходимости «полной перезагрузки ЕБС в течение двух ближайших лет», можно сделать вывод о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем

В частности, заместитель председателя правительства Дмитрий Чернышенко в конце прошлого года сообщил: «С 30 декабря 2021 года в России заработала государственная единая биометрическая система. Это большой шаг на пути достижения национальной цели “Цифровая трансформация”, которую перед нами поставил президент страны. Новейшие информационные технологии безопасности и контроль со стороны государства обеспечат надежную защиту персональных данных граждан. ЕБС позволит расширить число сервисов и повысит доступность услуг для граждан России».

Под доступностью услуг в правительстве понимали возможность применения ЕБС в статусе государственной информационной системы (ГИС) для получения банковских услуг, возможность получения гражданами и бизнесом электронной подписи в удостоверяющих центрах с использованием ЕБС и ЕСИА, а также возможность оказания нотариальных услуг с использованием инфраструктуры электронного правительства и ЕБС.

Михаил Емельянников, эксперт в области ИБ, в своем блоге описывает дальнейшие шаги правительства РФ в этой сфере: «В июне 2022 года правительством приняты три новых постановления, касающиеся функционирования Единой биометрической системы. Учитывая новость Банка России о необходимости “полной перезагрузки ЕБС в течение двух ближайших лет”, можно сделать вывод о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем».

А что «при чем»? Изучаем первое, наиболее значимое Постановление Правительства № 1066, принятое 15 июня 2022 года и определяющее порядок размещения физическими лицами своих биометрических персональных данных в ЕБС.

Минцифры должно обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия средств криптографической защиты информации при использовании ЕСИА и ЕБС и функционирование технического решения для проверки действительности загранпаспорта с чипом. Ростелекому рекомендуется разработать программу и методику оценки алгоритмов обнаружения атак на биометрическое предъявление в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС.  Минцифры к 30 сентября необходимо утвердить согласованный с этими же ведомствами системный проект решения, обеспечивающего самостоятельное размещение физлицами своей биометрии в ЕБС, и подключить мобильное приложение к ЕСИА и ЕБС.

Подробности детально разобраны Михаилом Емельянниковым, а мы вернемся к 325-ФЗ, обязывающему государственные органы размещать в ЕБС биометрические ПДн, которые они собрали в рамках своей деятельности. Согласие граждан для этого не требуется. Владельцев ПДн будет необходимо уведомлять, что их данные размещены в ЕБС. Кроме того, гражданам должна быть предоставлена информация о том, что они могут потребовать от оператора ЕБС блокирования или уничтожения своих биометрических данных.

Коммерческие организации получат возможность использовать данные из ЕБС для идентификации граждан с марта 2023 года. В профильном комитете Госдумы пояснили, что «ЕБС нуждается в скорейшем наполнении биометрическими образцами, чтобы биометрические технологии могли начать широко применять». Наверное, ключевые слова здесь: «в скорейшем наполнении», а «перезагрузка» пока откладывается.