Законы РФ о персональных данных приведут в соответствие с Конвенцией Совета Европы

Минкомсвязи подготовило законопроект «О ратификации Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Если законопроект будет одобрен, то операторы персональных данных под угрозой административной ответственности должны будут сообщать государству обо всех серьезных случаях утечки информации. Кроме того, в российском законодательстве появится новое определение оператора данных — «контролер».

Протокол о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных был подписан Россией 10 октября 2018 года в Страсбурге. Как говорится в пояснительной записке к законопроекту, модернизация Конвенции призвана зафиксировать современный уровень развития информационных и иных технологий в странах-участницах. А также дать ответ на новые вызовы и угрозы, обусловленные постоянно расширяющимися возможностями обработки и трансграничной передачи сведений личного характера.

В преамбуле модернизированной конвенции содержится призыв учитывать диверсификацию, интенсификацию и глобализацию обработки персональных данных и потоков персональных данных, считаться с принципом личной автономии, основанным на праве человека осуществлять контроль за персональными данными и их обработкой.

Модернизированной конвенцией вводятся новые определения: «контролер» (что соответствует понятию «оператор», закрепленному в Федеральном законе «О персональных данных»), «лицо, осуществляющее обработку персональных данных» и «получатель». Именно контролер под угрозой административной ответственности должен будет своевременно уведомлять компетентный надзорный орган об утечках данных, которые могут привести к серьезным нарушениям чьих-либо прав и основных свобод.

В Конвенции содержится требование учредить один или несколько надзорных органов, ответственных за ее выполнение, с четким описанием их полномочий. В России такой орган, впрочем, уже существует. Это Роскомнадзор.

Так как протокол содержит иные правила, чем предусмотренные законодательством РФ, потребуется также внесение изменений в Федеральный закон № 152-ФЗ «О персональных данных» и КоАП.