02.09.2024
Булаев Михаил Александрович, ведущий консультант-аналитик
Восьмого августа 2024 года подписан
Федеральный закон № 233-ФЗ с очень длинным названием: "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных".
Проект этого закона был внесен на рассмотрение в Государственную Думу Правительством РФ ещё 20 июля 2020 года. За время рассмотрения он претерпел существенные изменения.
Какие новые требования к защите персональных данных вводятся этим законом?
а). часть 2 этой статьи дополнена пунктом 3.1, который устанавливает необходимость применения для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия, средств защиты информации, в составе которых реализована функция уничтожения информации. Таким образом, теперь уничтожение персональных данных должно производиться с использованием средств, обеспечивающих гарантированное уничтожение;
б). изменены части 8 и 9 статьи 19, устанавливающие полномочия государственных органов по контролю и надзору за выполнением организационных и технических мер по обеспечению безопасности персональных данных:
─ теперь ФСБ России и ФСТЭК России получили право контроля не только при обработке персональных данных в государственных информационных системах, но также и в эксплуатируемых в государственных органах Российской Федерации иных информационных системах персональных данных;
─ также на основания решения Правительства Российской Федерации с учётом значимости и содержания обрабатываемых персональных данных ФСБ Росси и ФСТЭК России могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных.
Перечисленные требования вступают в силу со дня опубликования рассматриваемого закона ─ с 8 августа 2024 г.
-
Глава 1 закона "О персональных данных" дополнена новой статьёй 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним".
Эта статья вводит порядок формирования так называемых "составов персональных данных" и порядок доступа к ним. Эти "составы" могут быть сформированы по требованию, направляемому Минцифрой России операторам персональных данных. При получении такого требования оператор:
─ должен сформировать пакет персональных данных, необходимый для формирования "состава" путем их обезличивания в соответствии с требованиями к обезличиванию персональных данных, методами обезличивания и порядком обезличивания, которые будут устанавливаться Правительством Российской Федерации по согласованию с ФСБ России;
─ предоставить сформированный пакет обезличенных данных в определяемую Правительством Российской Федерации государственную информационную систему Минцифры России;
─ Минцифры России после поступления от операторов пакета персональных данных, полученных в результате их обезличивания, формирует "составы" данных в своей ГИС в соответствии с порядком, устанавливаемым Правительством Российской Федерации по согласованию с ФСБ России.
Доступ к сформированным в этой ГИС "составам" будет предоставляться государственным органам и подведомственным им организациям, муниципальным органам и подведомственным им организациям, органам государственных внебюджетных фондов, юридическим лицам и гражданам Российской Федерации с учётом ограничений, установленных этой статьёй.
Для чего нужны эти "составы"?
Закон устанавливает, что такие "составы" будут использоваться в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами.
В частности, согласно Федеральному закону от 24 апреля 2020 года № 123-ФЗ московские операторы в рамках эксперимента могут передавать в региональную ГИС обезличенные данные изображения лица человека, полученные с помощью фото- и видеоустройств, запись голоса человека, полученную с помощью звукозаписывающих устройств и другие персональные данные для их последующей обработки и формирования "составов". Согласие субъекта персональных данных в этом случае не потребуется. Ожидается, что внедрение этих мер поможет ускорить развитие в городе Москве технологий искусственного интеллекта в разных сферах, в том числе в сфере здравоохранения и телемедицины.
В связи с необходимостью разработки и утверждения требований и методов по обезличиванию персональных данных для целей, установленных статьёй 13.1, предусмотрен отложенный срок вступления новых требований в силу - они начнут действовать с 1 сентября 2025 года.