Комплайтека
Крупнейшая база разъяснений госорганов и правоприменительной практики РФ по privacy и ТМТ.
Анализ изменений законодательства в сфере ПД и информационных технологий (законопроект № 159652-8 «Антифрод‑2»)
Категория: ПД
Подкатегория: Иное
Источник: Comply
Формат: Privacy-мнение
1. Общие положения. В рамках доработки законопроекта № 159652-8 «О внесении изменений в отдельные законодательные акты Российской Федерации» (далее – законопроект, «Антифрод‑2») была представлена новая редакция, существенно отличающаяся от первоначальной. Изменения затрагивают как регулирование обработки персональных данных, так и отдельные аспекты функционирования информационных систем и распространения информации.
2. Изменения в регулировании согласий на обработку персональных данных
2.1. Исключение ограничительной нормы. Первая редакция законопроекта содержала положение, согласно которому сбор согласий на обработку персональных данных допускался только в случаях, когда такая обязанность прямо установлена федеральным законом или международным договором. Данная норма создавала риск невозможности использования согласия как правового основания в большинстве добровольных отношений, что вызвало обоснованную критику со стороны бизнеса. В новой редакции указанное ограничение исключено.
Вместе с тем исключение данной нормы не означает сохранения прежнего подхода к сбору согласий. Законодатель продолжает курс на сокращение избыточного использования согласия в пользу иных правовых оснований (исполнение договора, законный интерес, выполнение требований закона). Операторам рекомендуется не позднее 2028 года пересмотреть свои процессы, заменив сбор согласий на иные основания там, где это возможно.
2.2. Управление согласиями через ЕСИА. Статья 5 законопроекта (вносящая изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных») предусматривает следующие новеллы:
• субъекты персональных данных получают возможность предоставлять и отзывать согласия на обработку персональных данных с использованием единой системы идентификации и аутентификации (ЕСИА) (части 1(1) и 2(1) статьи 9);
• типовые формы согласий (в том числе в электронном виде) утверждаются Роскомнадзором и Минцифры России, а в отношении финансового сектора – также Центральным банком Российской Федерации (часть 1(3) статьи 9);
• информация об обработке персональных данных на основании согласий, предоставленных или отозванных через ЕСИА, подлежит отражению на Едином портале государственных услуг (часть 7(1) статьи 14);
• субъекты персональных данных вправе направлять жалобы в Роскомнадзор через ЕСИА, но только после получения от оператора информации в соответствии с частью 7(1) статьи 14 (часть 1(1) статьи 17).
2.3. Передача сведений о согласиях в ЕСИА. Законопроект обязывает операторов передавать в ЕСИА сведения о предоставлении и отзыве согласий, в том числе тех, которые были получены непосредственно от субъекта вне ЕСИА. Данное требование распространяется на все согласия, включая собранные до вступления закона в силу.
На практике это потребует от операторов:
• идентификации субъекта в ЕСИА для сопоставления сведений о ранее данных согласиях;
• организации технической интеграции с инфраструктурой электронного правительства;
• формирования и передачи сведений в установленном формате.
В настоящий момент законопроект не устанавливает конкретных санкций за непередачу или несвоевременную передачу таких сведений. Порядок и случаи передачи, а также типовые формы согласий и состав передаваемых сведений будут определены постановлением Правительства Российской Федерации.
2.4. Сроки вступления в силу. Законопроектом предусмотрены переходные положения:
• право субъектов управлять согласиями через ЕСИА вступает в силу с 1 марта 2028 года;
• обязанность операторов по передаче сведений о согласиях в ЕСИА подлежит исполнению не позднее 1 сентября 2028 года.
Указанные сроки дают операторам возможность адаптировать бизнес-процессы и информационные системы, однако требуют заблаговременного планирования соответствующих бюджетов и ресурсов.
3. Иные положения в сфере персональных данных. Из новой редакции законопроекта исключено упоминание о разработке обязательных для применения составов персональных данных, допускаемых к обработке. Работа в данном направлении может быть продолжена в формате рекомендательных актов (стандартов, руководств, одобренных практик), что представляется более гибким подходом, учитывающим разнообразие отраслевых сценариев.
4. Изменения в сфере телекоммуникаций и массовых коммуникаций
4.1. Авторизация с использованием российских доменов. Законопроект предоставляет Правительству Российской Федерации право в определенных случаях устанавливать требование об использовании для авторизации пользователей адресов электронной почты только в доменных зонах .RU и .РФ. Конкретные случаи и порядок реализации данного требования будут определены подзаконным актом. Данная норма может повлиять на возможность использования иностранных почтовых сервисов для доступа к государственным информационным системам и иным ресурсам, в отношении которых Правительством будет установлено соответствующее требование.
4.2. Распространение фейковой информации. Законопроект расширяет основания для ограничения доступа к информационным ресурсам. Распространение недостоверной информации, вводящей пользователей в заблуждение под видом достоверных сообщений, становится самостоятельным основанием для блокировки любого сайта без привязки к статусу средства массовой информации. Понятие «фейковой информации» в новой редакции не ограничено перечнем, определяемым Правительством, что расширяет сферу усмотрения регулятора.
4.3. Новые обязанности организаторов распространения информации (ОРИ). Для организаторов распространения информации (владельцев социальных сетей, мессенджеров, маркетплейсов и иных интернет-платформ) законопроектом вводятся дополнительные обязанности:
• при распространении контента, предназначенного для лиц старше 18 лет, ОРИ обязаны принимать меры по защите несовершеннолетних от вредной информации, включая проверку принадлежности номера телефона несовершеннолетнему лицу и выполнение иных требований, установленных Правительством Российской Федерации;
• владельцы мессенджеров обязаны информировать государственную информационную систему о случаях мошенничества (фрода), выявленных в процессе использования мессенджера.
Указанные требования предполагают значительную доработку механизмов идентификации пользователей и взаимодействия с государственными информационными системами.
5. Заключительные положения. Новая редакция законопроекта № 159652-8 демонстрирует отказ от наиболее радикальных ограничений в сфере согласий на обработку персональных данных, одновременно вводя механизмы централизованного контроля через ЕСИА. Операторам следует учитывать, что требование о передаче сведений о согласиях (включая ранее полученные) вступит в силу в 2028 году, что требует заблаговременной организационной и технической подготовки.
В сфере телекоммуникаций и массовых коммуникаций законопроект создает дополнительные регуляторные барьеры: возможность ограничения авторизации российскими доменами, расширение оснований для блокировки ресурсов по признаку распространения фейковой информации, а также новые обязанности для организаторов распространения информации по проверке возраста и противодействию мошенничеству.
Настоящий материал носит информационно-аналитический характер и не является нормативным правовым актом.
Подкатегория: Иное
Источник: Comply
Формат: Privacy-мнение
1. Общие положения. В рамках доработки законопроекта № 159652-8 «О внесении изменений в отдельные законодательные акты Российской Федерации» (далее – законопроект, «Антифрод‑2») была представлена новая редакция, существенно отличающаяся от первоначальной. Изменения затрагивают как регулирование обработки персональных данных, так и отдельные аспекты функционирования информационных систем и распространения информации.
2. Изменения в регулировании согласий на обработку персональных данных
2.1. Исключение ограничительной нормы. Первая редакция законопроекта содержала положение, согласно которому сбор согласий на обработку персональных данных допускался только в случаях, когда такая обязанность прямо установлена федеральным законом или международным договором. Данная норма создавала риск невозможности использования согласия как правового основания в большинстве добровольных отношений, что вызвало обоснованную критику со стороны бизнеса. В новой редакции указанное ограничение исключено.
Вместе с тем исключение данной нормы не означает сохранения прежнего подхода к сбору согласий. Законодатель продолжает курс на сокращение избыточного использования согласия в пользу иных правовых оснований (исполнение договора, законный интерес, выполнение требований закона). Операторам рекомендуется не позднее 2028 года пересмотреть свои процессы, заменив сбор согласий на иные основания там, где это возможно.
2.2. Управление согласиями через ЕСИА. Статья 5 законопроекта (вносящая изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных») предусматривает следующие новеллы:
• субъекты персональных данных получают возможность предоставлять и отзывать согласия на обработку персональных данных с использованием единой системы идентификации и аутентификации (ЕСИА) (части 1(1) и 2(1) статьи 9);
• типовые формы согласий (в том числе в электронном виде) утверждаются Роскомнадзором и Минцифры России, а в отношении финансового сектора – также Центральным банком Российской Федерации (часть 1(3) статьи 9);
• информация об обработке персональных данных на основании согласий, предоставленных или отозванных через ЕСИА, подлежит отражению на Едином портале государственных услуг (часть 7(1) статьи 14);
• субъекты персональных данных вправе направлять жалобы в Роскомнадзор через ЕСИА, но только после получения от оператора информации в соответствии с частью 7(1) статьи 14 (часть 1(1) статьи 17).
2.3. Передача сведений о согласиях в ЕСИА. Законопроект обязывает операторов передавать в ЕСИА сведения о предоставлении и отзыве согласий, в том числе тех, которые были получены непосредственно от субъекта вне ЕСИА. Данное требование распространяется на все согласия, включая собранные до вступления закона в силу.
На практике это потребует от операторов:
• идентификации субъекта в ЕСИА для сопоставления сведений о ранее данных согласиях;
• организации технической интеграции с инфраструктурой электронного правительства;
• формирования и передачи сведений в установленном формате.
В настоящий момент законопроект не устанавливает конкретных санкций за непередачу или несвоевременную передачу таких сведений. Порядок и случаи передачи, а также типовые формы согласий и состав передаваемых сведений будут определены постановлением Правительства Российской Федерации.
2.4. Сроки вступления в силу. Законопроектом предусмотрены переходные положения:
• право субъектов управлять согласиями через ЕСИА вступает в силу с 1 марта 2028 года;
• обязанность операторов по передаче сведений о согласиях в ЕСИА подлежит исполнению не позднее 1 сентября 2028 года.
Указанные сроки дают операторам возможность адаптировать бизнес-процессы и информационные системы, однако требуют заблаговременного планирования соответствующих бюджетов и ресурсов.
3. Иные положения в сфере персональных данных. Из новой редакции законопроекта исключено упоминание о разработке обязательных для применения составов персональных данных, допускаемых к обработке. Работа в данном направлении может быть продолжена в формате рекомендательных актов (стандартов, руководств, одобренных практик), что представляется более гибким подходом, учитывающим разнообразие отраслевых сценариев.
4. Изменения в сфере телекоммуникаций и массовых коммуникаций
4.1. Авторизация с использованием российских доменов. Законопроект предоставляет Правительству Российской Федерации право в определенных случаях устанавливать требование об использовании для авторизации пользователей адресов электронной почты только в доменных зонах .RU и .РФ. Конкретные случаи и порядок реализации данного требования будут определены подзаконным актом. Данная норма может повлиять на возможность использования иностранных почтовых сервисов для доступа к государственным информационным системам и иным ресурсам, в отношении которых Правительством будет установлено соответствующее требование.
4.2. Распространение фейковой информации. Законопроект расширяет основания для ограничения доступа к информационным ресурсам. Распространение недостоверной информации, вводящей пользователей в заблуждение под видом достоверных сообщений, становится самостоятельным основанием для блокировки любого сайта без привязки к статусу средства массовой информации. Понятие «фейковой информации» в новой редакции не ограничено перечнем, определяемым Правительством, что расширяет сферу усмотрения регулятора.
4.3. Новые обязанности организаторов распространения информации (ОРИ). Для организаторов распространения информации (владельцев социальных сетей, мессенджеров, маркетплейсов и иных интернет-платформ) законопроектом вводятся дополнительные обязанности:
• при распространении контента, предназначенного для лиц старше 18 лет, ОРИ обязаны принимать меры по защите несовершеннолетних от вредной информации, включая проверку принадлежности номера телефона несовершеннолетнему лицу и выполнение иных требований, установленных Правительством Российской Федерации;
• владельцы мессенджеров обязаны информировать государственную информационную систему о случаях мошенничества (фрода), выявленных в процессе использования мессенджера.
Указанные требования предполагают значительную доработку механизмов идентификации пользователей и взаимодействия с государственными информационными системами.
5. Заключительные положения. Новая редакция законопроекта № 159652-8 демонстрирует отказ от наиболее радикальных ограничений в сфере согласий на обработку персональных данных, одновременно вводя механизмы централизованного контроля через ЕСИА. Операторам следует учитывать, что требование о передаче сведений о согласиях (включая ранее полученные) вступит в силу в 2028 году, что требует заблаговременной организационной и технической подготовки.
В сфере телекоммуникаций и массовых коммуникаций законопроект создает дополнительные регуляторные барьеры: возможность ограничения авторизации российскими доменами, расширение оснований для блокировки ресурсов по признаку распространения фейковой информации, а также новые обязанности для организаторов распространения информации по проверке возраста и противодействию мошенничеству.
Настоящий материал носит информационно-аналитический характер и не является нормативным правовым актом.
https://complyteka.ru/#card-34a8cf00-7d82-801f-95e4-ffd1ea5f4779