Риск афер с жильем и трудноуловимые утечки. Что насторожило РСПП в поправках о защите данных
Российский союз промышленников и предпринимателей направил председателю думского комитета по информационной политике, информационным технологиям и связи Александру Хинштейну и главе Роскомнадзора Андрею Липову замечания к проекту поправок в закон «О персональных данных», которые 24 мая были приняты Госдумой в первом чтении. Претензии и предложения РСПП разбирает газета «Ведомости», в распоряжении которой есть копии этих обращений.
Критика РСПП касается, в частности, положений законопроекта:
- об использовании персональных данных из единого государственного реестра недвижимости;
- о новых правилах раскрытия операторами персональных данных информации об утечках и кибератаках;
- об обязательном информировании уполномоченных органов в случае намерения передать персональные данные за рубеж;
- об ограничениях на обработку биометрических данных несовершеннолетних.
Закрытые данные о собственнике — риск для покупателей жилья
Что прописано в законопроекте:
Проект поправок в закон «О персональных данных» предполагает, что персональные данные из ЕГРН могут быть предоставлены третьим лицам только с согласия собственника объекта недвижимости, отмечалось в майском релизе Госдумы по итогам первого чтения документа.
«Персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица — субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости . В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующему на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться: наличие договора, стороной которого являются заявитель и правообладатель, причинение ущерба личности или имуществу заявителя, наличие оснований для предъявления заявителем вещного иска к правообладателю и др.», — сказано в пояснительной записке к законопроекту.
По задумке авторов — группы депутатов и членов Совета Федерации во главе с Хинштейном, поправки устранят «правовую коллизию, когда операторы, с одной стороны, обязаны не раскрывать третьим лицам персональные данные без согласия их правообладателя, но, с другой, выдача персональных данных из ЕГРН осуществляется без каких-либо ограничений».
Что предлагает РСПП:
По мнению членов делового союза, ограничение доступа к сведениям, позволяющим идентифицировать собственника недвижимости, узнать об ограничении прав или обременении, «усложнит оборот объектов недвижимости» и может привести к учащению случаев мошенничества.
В РСПП считают, что более логичной была бы система, при которой владелец недвижимости должен подавать в реестр заявление не для разрешения, а для запрета на раскрытие своих данных. Это, по мнению союза, обеспечит баланс между доступностью сведений в ЕГРН и правом на неприкосновенность частной жизни.
Что думают другие эксперты:
Доступ к информации о владельце недвижимости — важнейшая функция ЕГРН, подчеркивает адвокат Forward Legal Данил Бухарин: покупатель имеет возможность удостовериться, что объект недвижимости продает его собственник. Сейчас эту информацию может получить любое лицо через запрос в ЕГРН, а в случае утверждения поправок в схеме доступа будет задействован еще нотариус. Эксперт согласен с мнением, что изменения ограничат «правоподтверждающую функцию» ЕГРН и увеличат риски в сделках с недвижимостью.
Региональный финансовый директор консалтинговой компании Nikoliers Татьяна Яцына предупреждает, что новая схема доступа к данным из ЕГРН усложнит работу юристов, увеличит срок проведения сделок и их стоимость.
Председатель совета директоров компании «Бест-Новострой» Ирина Доброхотова не считает, что изменения повлияют на объемы сделок с вторичной недвижимостью (хотя и прибавят работы риелторам). Она обращает внимание на то, что добросовестный владелец недвижимости, у которого останется доступ к собственной информации в ЕГРН, сможет предоставить ее еще до запроса покупателя, а вот попытка закрыть данные будет выглядеть подозрительно.
Кнопка со ссылкойОтчитаться об утечке за 24 часа — «фактически невыполнимо»
Что прописано в законопроекте:
Операторов персональных данных обяжут незамедлительно сообщать в уполномоченные органы о кибератаках и утечках данных.
«В случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных, оператор обязан в течение 24 часов с момента наступления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о лицах, допустивших указанный доступ, а также о принятых мерах по устранению соответствующих последствий», — прописано в законопроекте.
Что предлагает РСПП:
По мнению РСПП, отчитаться об инциденте и провести полноценное расследование за 24 часа — «фактически невыполнимая» задача. Например, утечка может быть выявлена не сразу, а спустя какое-то время.
РСПП предлагает вести отсчет не «с момента наступления инцидента», а с момента его выявления и дать операторам больше времени на выяснение обстоятельств — 72 часа вместо одних суток.
Что думают другие эксперты:
Многие эксперты также сомневаются, что требование, прописанное в законопроекте, выполнимо по срокам.
Главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян предлагает закрепить требование сообщать об инциденте в течение суток, а на предоставление информации о внутреннем расследовании дать операторам персональных данных три дня.
В свою очередь директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов считает срок в одни сутки для уведомления именно о самом факте утечки разумным: пострадавшим важно узнать о ней как можно скорее, чтобы минимизировать ущерб. При этом «для защиты их интересов совершенно не важно, что виновник этой утечки считает ее причиной, как он сам оценивает вред от нее и как он будет решать проблему», рассуждает эксперт.
Что еще насторожило РСПП
Согласно законопроекту, операторы должны будут информировать уполномоченные органы о намерении передать персональные данные за рубеж, при этом в ряде случаев такая передача может быть ограничена.
Более 2,5 тыс. операторов персональных данных, по информации Роскомнадзора, осуществляют сейчас трансграничную передачу персональных данных российских граждан в «недружественные» страны, где не обеспечивается их должная защита, говорится в пояснительной записке.
В РСПП считают, что новое требование затруднит работу маркетплейсов («Яндекс.Маркета», Wildberries, Ozon, AliExpress), работающих с зарубежными продавцами, или даже приведет к ее приостановке.
Предлагается также установить ограничение на обработку биометрических персональных данных несовершеннолетних: согласно законопроекту, «не допускается обработка биометрических персональных данных несовершеннолетнего в возрасте до 18 лет».
РСПП считает, что столь высокий порог ограничивает подростков в праве получать дистанционные финансовые услуги, и предлагает снизить его до 14 лет.
Ранее в Центробанке также согласились с идеей разрешить обработку биометрических персональных данных подростков в возрасте от 14 до 18 лет в предусмотренных законодательством случаях.