Финансовая сфера

Банковское обозрение


  • Защищая ПДн
08.06.2022 FinRegulationFinSecurityАналитика

Защищая ПДн

Апрель 2022 года довольно неожиданно, хотя причины копились до этого годами, стал началом серьезных перемен в законодательстве, посвященном защите персональных данных (ПДн)


Первым в медийном пространстве на грядущие изменения, как обычно, отреагировал известный эксперт в области ИБ Алексей Лукацкий: «Ну что, коллеги, похоже 2022 год вновь может стать годом персональных данных, если все задуманные инициативы наших законодателей будут реализованы. И хотя я когда-то написал, что больше не буду заниматься темой ПДн ввиду ее хаотического и совершенно непредсказуемого развития, но, видимо, придется сдуть пыль с этой темы и вновь начать за ней следить более пристально, чем я это делал вполглаза последнее время. В первую очередь интересна судьба внесенного вчера в Госдуму Законопроекта № 101234-8», — написал эксперт.

Чем же так примечателен этот Законопроект для банковского сообщества? «Б.О» решил разобраться в этом и опросил специалистов.

Не совсем понятно

Много вопросов вызывает предложение добавить принцип экстерриториальности, то есть возможность контроля Роскомнадзором обработки ПДн россиян зарубежными компаниями, а также расширить понятие «трансграничной передачи ПДн».

Андрей Емелин, председатель Национального совета финансового рынка (НСФР), ссылаясь на официальное заключение Совета на проект Федерального закона № 101234-8, прокомментировал ряд острых моментов: «По мнению участников финансового рынка, предлагаемые изменения в существенной степени ограничивают возможности оказания финансовых услуг (например, расчетные операции, сделки на финансовых рынках) и реализации внутренних контрольных процедур, корпоративного управления и контроля в отношении обществ, находящихся за рубежом, требующих трансграничной передачи ПДн (например, при проведении процедур due diligence и в иных сферах. Проектируемые нормы в случае принятия Законопроекта создадут риск прекращения работы с зарубежными площадками и прекращения использования зарубежных технологий (включая технологии из стран, которые не проводят недружественную по отношению к РФ политику) либо значительно усложнят работу с ними, что негативным образом отразится на услугах, которые получают клиенты финансовых организаций».

О чем же таком пишут законодатели, что вызывает столь бурную реакцию финансистов? Ирина Зиновкина, директор по консалтингу ГК InfoWatch, поясняет: «В предполагаемой редакции Закона “О персональных данных” введение экстерриториального применения российского законодательства о ПДн устанавливает возможность вмешательства уполномоченных органов власти в вопросы обработки ПДн граждан РФ на территории других государств. На данный момент помимо незаконного оборота ПДн в других странах отечественное законодательство не может контролировать обработку персональных данных граждан РФ в странах, которые не могут предоставить адекватную защиту персональных данных; следовательно, нововведения будут призваны решить эти проблемы. Механизмы, согласно которым будет осуществляться применимость российского Закона о ПДн к иностранным организациям, пока не раскрываются».

Что касается влияния нововведений на банковский сектор, по мнению эксперта, при работе финансовых организаций с иностранными партнерами операторы теперь должны будут уведомлять регулятора в области обработки ПДн о трансграничной передаче персональных данных. Причем условия указаны как для стран, обеспечивающих адекватную защиту персональных данных, так и для стран, занесенных в список недружественных. Далее регулятор в течение 30 дней начиная с даты поступления уведомления принимает решение допускать, не допускать или ограничить передачу данных.

«Однако не совсем понятно, как быть в тех случаях, когда одна или несколько стран одновременно предоставляют адекватную защиту и являются недружественными. Также пока неясно, сколько времени будет отведено организациям, которые уже осуществляют трансграничную передачу данных, на уведомление регулятора об осуществлении трансграничной передачи», — обращает внимание на проблему Ирина Зиновкина.

ЕГРН как яблоко раздора

Озабоченности участников НСФР на этом не ограничиваются: «Положения ст. 2 Законопроекта, которые вносят изменения в Федеральный закон от 13.07.2015 № 218-ФЗ “О государственной регистрации недвижимости” о предоставлении ПДн правообладателя, содержащихся в ЕГРН, только с его согласия путем направления в ЕГРН заявления о возможности предоставления третьим лицам ПДн правообладателя породят негативные последствия в виде роста числа судебных разбирательств по оспариванию прав добросовестных приобретателей недвижимого имущества ввиду того, что приобретатели недвижимого имущества не вошли в перечень субъектов, которым предоставляется доступ к персонифицированным выпискам из ЕГРН».

Особо финансисты отмечают, что с учетом презумпции деперсонифицированного подхода (правообладатель может подать заявление о раскрытии его ПДн, а не наоборот — об их сокрытии в выписке) у правообладателей отсутствуют мотивация и стимул к подаче заявлений о предоставлении в выписке их персональных данных, что еще более усугубляет риски злоупотреблений с их стороны.

«В этой связи изменения, предлагаемые в ст. 2 и 3 Законопроекта, концептуально не поддерживаются участниками финансового рынка. В целях защиты прав граждан, ПДн которых содержатся в ЕГРН, предлагаем предусмотреть механизм, обратный предложенному в Законопроекте: по умолчанию закрепить презумпцию раскрытия ПДн владельцев в составе ЕГРН, а если лицо по какой-либо причине не хочет, чтобы его персональные данные были доступны в ЕГРН третьим лицам, то такое лицо должно иметь право подать об этом соответствующее заявление в Росреестр», — написано в документе НСФР.

Согласовывать или нет?

«Теперь все нормативные акты касательно ПДн, разрабатываемые ЦБ, госорганами и т.п., должны обязательно согласовываться с Минцифрой и Роскомнадзором. На ваш взгляд, что здесь в плюс, а что нет?» — был задан вопрос Ирине Зиновкиной.

«Среди плюсов можно отметить, что для упрощения процедуры согласования разработанных нормативных актов, скорее всего, будут выдвинуты конкретные требования к перечню тех самых актов. На данный момент четких требований к комплекту документов для организаций нет, есть рекомендации по их составлению. Иными словами, на данный момент каждый сам решает, какие документы в области ПДн ему нужны. К тому же могут упроститься и проверки регуляторов, так как документы были утверждены ими. Из минусов, наверное, стоит отметить повышенную загруженность самих регуляторов для согласования документов, так как процедура новая и механизму потребуется время, чтобы наладить процесс. Кроме того, документы могут оказаться слишком стандартизированными и не быть гибкими для изменений», — полагает эксперт.

На загруженность регуляторов в Комментариях и предложениях по изменению Законопроекта» указывают и участники НСФР: «С учетом сложившихся подходов надзорных органов к буквальному толкованию норм Закона № 152-ФЗ операторы ПДн могут столкнуться с необходимостью подачи десятков и сотен уведомлений (например, в случае холдинговых структур) в связи с невозможностью указания в составе одного уведомления нескольких целей или правовых оснований трансграничной передачи ПДн».

В итоге опрошенные «Б.О» эксперты полагают, что в Госдуме предстоят долгие дискуссии по поводу Законопроекта № 101234-8 и не только. Много вопросов по поводу GDPR, ЕБС и т.д. А еще банкиров интересует судьба предложения Минцифры о введении оборотных штрафов в размере 1% за утечки ПДн. Интрига только нарастает.






Новости Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ