РСПП раскритиковал проект поправок к закону «О персональных данных», принятых Госдумой в первом чтении 24 мая. В частности, лобби крупного бизнеса предложило исключить положение, касающееся приватности персональных данных (ПД), хранящихся в Едином государственном реестре недвижимости (ЕГРН).
Замечания РСПП были направлены главе комитета Госдумы по информационной политике Александру Хинштейну и руководителю Роскомнадзора (РКН) Андрею Липову 21 июня. Копии писем есть у «Ведомостей», в РСПП подтвердили их подлинность. В Роскомнадзоре подтвердили получение письма, добавив, что предложения будут рассмотрены в установленном порядке. Хинштейн на запрос «Ведомостей» не ответил.
В РСПП предлагают положение о ЕГРН из проекта поправок исключить. В письме союза говорится, что ограничение доступа к сведениям о ФИО и дате рождения физлица, за которым зарегистрировано право, ограничение права или обременение, «усложнит оборот объектов недвижимости и может привести к увеличению случаев мошенничества». РСПП предлагает дать владельцам недвижимости право подавать в реестр заявление не о разрешении на предоставление данных, а о запрете на него. Это позволит обеспечить баланс принципа общедоступности сведений в ЕГРН и права на неприкосновенность частной жизни, объясняет РСПП.
Возможность получить информацию о владельце объекта недвижимости – это важнейшая функция ЕГРН, так как это позволяет убедиться перед сделкой, что недвижимость продает собственник, объясняет адвокат Forward Legal Данил Бухарин. Он уточнил, что сейчас получить эту информацию может любое лицо, которое сделает запрос через ЕГРН, но в случае принятия поправок в цепочке действий будет задействован нотариус. «Принятие поправок существенно ограничит принципы общедоступности, публичности реестра и его правоподтверждающую функцию. Что, в свою очередь, приведет к дополнительным рискам в сделках с недвижимостью», – добавляет юрист.
Проект усложнит работу юристов, а также увеличит срок и стоимость сделок, соглашается региональный финансовый директор консалтинговой компании Nikoliers Татьяна Яцына. По ее словам, в случае принятия поправок сделки на рынке недвижимости станут менее прозрачными. «Мы согласны с позицией РСПП и считаем ее адекватной. Есть работающие, удобные для рынка механизмы, обеспечивающие защиту персональных данных в полной мере, которые нет смысла ломать, вводя поправки в части ЕГРН», – заключила Яцына.
Но информация из ЕГРН по-прежнему будет доступна собственнику недвижимости и любой добросовестный продавец сможет предоставить ее еще до запроса со стороны покупателя, уточняет председатель совета директоров «БЕСТ-новострой» Ирина Доброхотова. Попытка уклониться от предоставления ПД, по ее словам, может стать «тревожным индикатором» того, что от сделки с объектом лучше отказаться. Эксперт добавила, что в случае принятия поправок у риэлторов станет больше работы, но объем купли-продажи на вторичном рынке недвижимости «едва ли изменится».
Еще один пункт в законопроекте, на который обращают внимание авторы письма РСПП, касается требования к операторам ПД уведомлять РКН об утечках в течение 24 часов. За этот срок им нужно будет установить причину инцидента, оценить предполагаемый вред и перечислить меры, принятые для устранения последствий. В РСПП считают, что требование отчитаться об инциденте за 24 часа и провести полноценное расследование «фактически невыполнимо». Оператор может узнать об утечке не в момент происшествия, а спустя промежуток времени, объясняет союз. По этой причине в РСПП предлагают увеличить срок до 72 часов, а также заменить формулировку «с момента наступления инцидента» на «с момента выявления инцидента».
Срок в 24 часа выглядит «малореальным», так как многие компании узнают об утечках из прессы, а некоторые даже не догадываются, что их атаковали или что злоумышленники долгое время находятся внутри инфраструктуры, соглашается тренер по компьютерной криминалистике Group-IB Сергей Золотухин. По его словам, в мае – июне в даркнет выложили рекордное количество баз данных российских компаний – более 50. «Проблема такого огромного числа инцидентов в недостаточной защищенности цифровых активов. Но если руководство компаний уделит больше внимание процедурам подготовки к реагированию на инцидент, то срок в 1–3 дня может быть вполне достижим», – объясняет он.
Инциденты, как правило, случаются ночью, а первые часы после обнаружения уходят на устранение или минимизацию их последствий, т. е. у оператора фактически нет свободного ресурса на уведомление РКН, добавляет президент Ассоциации компаний интернет-торговли Артем Соколов. Кроме того, по его словам, не всегда можно достоверно установить момент наступления инцидента, поэтому срок уведомления в 24 часа представляется «неоправданно коротким».
Главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян согласен с тем, что перечень информации об утечке, который надо предоставить РКН, достаточно большой. Законопроект стоит дополнить так, чтобы можно было сообщить об инциденте в течение суток, а в течение трех дней предоставить информацию о внутреннем расследовании, считает он.
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, напротив, считает, что 24 часа на уведомление о факте утечки выглядят «вполне разумным сроком». «Цель уведомления об утечке – не выполнить требование регулятора, а помочь пострадавшим от утечки минимизировать ущерб. Им нужно как можно быстрее узнать о факте утечки, и для защиты их интересов совершенно не важно, что виновник этой утечки считает ее причиной, как он сам оценивает вред от нее и как он будет решать проблему», – объяснил он.
РСПП также предложил исключить из новой инициативы по защите ПД требование уведомлять РКН о передаче данных в другие страны, так как это затруднит или приостановит работу маркетплейсов («Яндекс.Маркет», Wildberries, Ozon, AliExpress), которые сотрудничают с зарубежными продавцами. Также в письме есть предложение снизить с 18 до 14 лет возраст несовершеннолетних, до достижения которого не допускается обработка их биометрических персональных данных. В РСПП объяснили, что высокая планка ограничит их в праве получать финансовые услуги в дистанционном формате банковского обслуживания.
Ранее смягчить требования по защите персональной информации просили также в Ассоциации больших данных и Российской ассоциации электронных коммуникаций, писал «Коммерсантъ». По мнению представителей организаций, принятие проекта в текущем виде может ограничить расчетные операции бизнеса и сделки на финансовых рынках с компаниями, находящимися за рубежом.