18 октября 2018 года
10 октября представитель России подписал в Страсбурге протокол, вносящий изменения в «Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Цель новаций - повышение уровня защиты персональных данных на международном уровне. Конвенция на сегодняшний день является единственным масштабным международным документом в сфере защиты персональных данных, носящим юридически обязывающий характер.
Россия подписала протокол о внесении изменений в Конвенцию Совета Европы о защите персональных данных. Какие основные цели преследует корректировка положений Конвенции?
Цель принятия протокола – приведение Конвенции к реалиям сегодняшнего дня.
За 37 лет с момента принятия Конвенции Совета Европы произошли глобальные технологические изменения, внедряются новые информационные и коммуникационные технологии. Изменился не только подход к сбору личной информации, но и отношение общества к этой проблематике.
Модернизация Конвенции призвана зафиксировать современный уровень развития информационных и иных технологий в странах-участниках, позволяет дать ответ на актуальные вызовы и угрозы, обусловленные постоянно расширяющимися возможностями обработки и трансграничной передачи данных личного характера.
Какие обязательства должна взять на себя Россия в связи с подписанием протокола?
Российская Федерация берет на себя обязательства по гармонизации национального законодательства в сфере персональных данных с учетом положений обновленной Конвенции.
Формальные обязательства – это ратификация Протокола и передача ратификационной грамоты на хранение Генеральному секретарю Совета Европы.
Какие главные изменения могут быть внесены в российскую нормативно-правовую базу?
Новшества, закрепленные протоколом, условно можно разделить на три группы.
Первая – это требования к принципам пропорциональности, минимизации и законности сбора, обработки и хранения персональных данных. Эти принципы уже содержатся в ст. 5 Федерального закона «О персональных данных».
Вторая – введение новой категории чувствительных данных – генетических данных. Роспотребнадзором разработан законопроект по включению генетических данных в понятие «Специальные категории персональных данных».
Третья – определение новых прав, предоставляемых гражданам, для управления своими персональными данными при их обработке на основе математических алгоритмов, искусственного интеллекта и т.д. Также вводится обязанность операторов персональных данных уведомлять уполномоченный надзорный орган об утечках, устанавливается четкий режим трансграничных потоков данных.
Вопросы применения новшеств третьей группы активно обсуждаются на различных площадках с участием органов власти и операторского сообщества.
Какие основные последствия для российских граждан и компаний будет иметь применение данного протокола?
Для граждан применение норм Протокола связано с расширением прав на получение информации о несанкционированном доступе третьих лиц к их персональным данным. Люди имеют право не просто заявить о своем несогласии, но и независимо от гражданства и места жительства получать квалифицированную защиту от надзорного органа.
Что касается компаний, то протокол важен, прежде всего, для тех, которые взаимодействуют с европейскими партнерами или осуществляют деятельность на территории Евросоюза. Вступивший в силу в мае этого года европейский регламент GDPR рассматривает правовой режим обработки персональных данных в странах, присоединившихся к Конвенции (а значит и России), как адекватный. Это значит, что европейские регуляторы в рамках GDPR не будут применять к российским компаниям, работающим на рынках ЕС, дополнительные меры защиты персональных данных своих граждан.
Обновленная Конвенция сохраняет суверенность подходов, связанных с защитой прав субъектов персональных данных. Принятие мер защиты на территории Российской Федерации рассматривается в рамках национального законодательного поля и является исключительной компетенцией российского уполномоченного органа (Роскомнадзора).