В 2023 году можно отметить усиление контроля над оборотом персональных данных и тенденцию к организации хранения данных преимущественно в государственных информационных системах. В то же время в отдельных аспектах присутствует тренд на расширение возможностей использования персональных данных, в особенности биометрии. Рассмотрим основные направления регулирования персональных данных в 2023 году и возможные изменения в 2024 году.
Регулирование биометрии
01.06.2023 вступили в силу положения закона, которые запретили автоматизированную обработку биометрических персональных данных в целях идентификации или аутентификации вне Единой биометрической системы (ЕБС). Организации должны были передать накопленные ими биометрические данные в ЕБС до 30.09.2023 (Федеральный закон от 29.12.2022 № 572-ФЗ).
Теперь собственные биометрические системы могут иметь только аккредитованные организации. Другие организации, использующие биометрию для целей идентификации или аутентификации, могут на возмездной основе получить соответствующую услугу от оператора ЕБС.
Также с 23.12.2023 вступил в силу закон об административной ответственности за нарушения организациями требований при размещении и обновлении биометрических персональных данных в ЕБС (Федеральный закон от 12.12.2023 № 589-ФЗ). Указанный закон также увеличил размеры штрафов за обработку персональных данных (в том числе биометрии) без согласия в письменной форме, когда такое согласие должно быть получено.
В 2024 году можно ожидать расширение использования биометрии гражданами для получения государственных и коммерческих услуг. С 18.09.2023 граждане в отдельных случаях могут предъявить сведения из приложения «Госуслуги» вместо паспорта и иных документов на бумажном носителе (Указ Президента РФ от 18.09.2023 № 695).
С учетом того, что ЕБС интегрирована с ЕСИА (Госуслуги), и на данный момент уже ряд услуг доступны при условии регистрации биометрии, сферы применения «цифрового паспорта» будут расширяться.
Утечки персональных данных
В 2022 году в Закон о персональных данных была введена обязанность операторов уведомлять Роскомнадзор об инцидентах с персональными данными. Постановлением Правительства от 04.02.2023 № 161 на Роскомнадзор возложены полномочия проводить внеплановые проверки операторов в случае, если установлен факт распространения в Интернете баз данных, содержащих персональные данные.
В 2024 ожидается введение мер, направленных на борьбу с утечками. В Госдуму внесен законопроект № 502104-8, предусматривающий административную ответственность за инциденты с персональными данными. Штраф составляет до 15 млн руб., а при повторном нарушении штраф предлагается рассчитывать как 0,1-3% от суммы выручки нарушителя за календарный год, предшествующий нарушению. Кроме того, внесен законопроект № 502113-8 об уголовной ответственности за подобные нарушения, а также за использование, сбор, хранение информации, полученной в результате утечки.
Усиление контроля над отношениями с иностранным элементом
С 01.03.2023 поменялись условия трансграничной передачи персональных данных. Теперь оператор до начала осуществления трансграничной передачи данных обязан уведомить Роскомнадзор о своем намерении. Роскомнадзор вправе запретить или ограничить трансграничную передачу, если это необходимо для защиты интересов РФ или субъектов персональных данных.
Также с 01.03.2023 вступил в силу закон, запрещающий использование иностранных мессенджеров для передачи сведений, содержащих персональные данные, в частности при оказании госуслуг и в деятельности госкомпаний и финансовых организаций (Федеральный закон от 29.12.2022 № 584-ФЗ). В продолжение этого 24.06.2023 приняты поправки в КоАП, предусматривающие штрафы за незаконное использование иностранных мессенджеров (Федеральный закон от 24.06.2023 № 277-ФЗ).