Публикации TA Legal Consulting

НАЦИОНАЛЬНЫЙ ПРОФИЛЬ BLOOMBERG, РОССИЯ

Скачать .pdf

УПРАВЛЯЮЩИЙ ПАРТНЕР TA LEGAL CONSULTING, МОСКВА, МАРАТ АГАБАЛЯН ПРОВЕЛ ЭКСПЕРТНУЮ ОЦЕНКУ "НАЦИОНАЛЬНОГО ОБЗОРА РФ" И НАПИСАЛ РАЗДЕЛ "СТРАХОВАЯ ОТВЕТСТВЕННОСТЬ".

I. ПРИМЕНИМЫЕ ЗАКОНЫ И ПОЛОЖЕНИЯ 

A. Введение  

Статья 23 Конституции РФ предоставляет каждому человеку право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Статья 24 Конституции РФ также запрещает собирать, хранить, использовать или распространять любую информацию о частной жизни человека без его согласия. По мнению Конституционного суда РФ, конституционная защита конфиденциальности не может быть отменена пользовательским соглашением. Поэтому любой провайдер связи, контролирующий переписку человека, должен соблюдать права пользователя на неприкосновенность частной жизни и не может получать доступ к этой информации или распространять её.

Основным законом о защите данных в РФ является Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее "Закон о персональных данных"). Существует также общий закон, регулирующий информационные технологии – Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее "Закон об информации").

Дополнением к Закону о персональных данных в контексте трудоустройства является Трудовой кодекс РФ от 31 декабря 2001 года, в частности глава 14 "Защита персональных данных работника". Также, важно отметить, что версия Трудового кодекса РФ на английском языке была подготовлена до принятия Федерального закона № 99-ФЗ от 7 мая 2005 года, который отменил статью 85 Трудового кодекса РФ, определяющую "персональные данные работника" в соответствии с определением понятия "персональные данные" в Законе о персональных данных.

B. Общие требования, применимые к обработке персональных данных   

В пункте 1 статьи 3 Закона "О персональных данных" дается широкое определение понятия "персональные данные": ими является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. В статье 6 Закона о персональных данных перечислены условия, при которых может происходить обработка персональных данных, в том числе с согласия субъекта данных или, например, для достижения целей, предусмотренных международным договором РФ. Статья 10 Закона "О персональных данных" в свою очередь содержит дополнительные ограничения на обработку "специальных категорий персональных данных", которые включают в себя данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Закон о персональных данных не обязывает сообщать о нарушениях персональных данных какому-либо государственному органу или субъектам персональных данных, чьи данные были скомпрометированы. Статья 22.1 Закона "О персональных данных" требует от организаций назначения лица, ответственного за организацию обработки персональных данных (в других странах такое лицо часто упоминается как должностное лицо по защите персональных данных).

Федеральный закон от 21 июля 2014 года № 242-ФЗ внес изменения в Закон о персональных данных и Закон об информации, в частности, обязал операторов данных до 1 сентября 2015 года хранить все персональные данные российских граждан в базах данных, расположенных на территории РФ. Законодательство также добавило в Закон об информации раздел, устанавливающий порядок создания реестра сайтов, нарушающих Закон о персональных данных, и блокирующий доступ к таким сайтам. 19 августа 2015 года Правительство РФ издало Постановление, вступившее в силу 1 сентября 2015 года и установившее порядок создания вышеуказанного реестра.

С 1 января 2016 года вступил в силу Федеральный закон № 264-ФЗ – закон о "праве на забвение", который потребовал от операторов поисковых систем удалять ссылки на сайты с персональной информацией, если она является неточной и/или была предоставлена незаконно. Однако это требование не распространяется на информацию о преступлениях и на поисковые системы, находящиеся в ведении федеральных и муниципальных органов власти. Федеральный закон № 439-ФЗ, подписанный 30 декабря 2015 года, установил финансовые санкции для поисковых систем, не выполняющих требования правообладателей.

В соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее "Роскомнадзор") № 94 от 30 мая 2017 года компании, осуществляющие обработку персональных данных, обязаны соблюдать специальные требования по уведомлению Роскомнадзора об операциях по обработке персональных данных. В частности, протоколы уведомлений должны содержать информацию о мерах предосторожности для предотвращения нарушений, декларировать, намерены ли субъекты персональных данных передавать данные за пределы РФ, и куда именно, если намерены, а также подтверждать требования закона о локализации данных в РФ. Роскомнадзор опубликовал форму уведомления для использования в вышеуказанных случаях.

C. Управление данными –  

Хранение 

Федеральным законом от 6 июля 2016 года № 374-ФЗ, вступившим в силу 20 июля 2016 года, внесены изменения в Закон об информации, обязывающие операторов связи хранить в течение 3 (трёх) лет, начиная с момента совершения указанных действий, информацию о приеме, передаче, доставке и обработке голосовой, текстовой, изобразительной, звуковой, видео- или иной связи. Интернет-провайдеры обязаны хранить одну и ту же информацию в течение 1 (одного) года. Закон также содержит требование к Интернет-провайдерам и поставщикам услуг связи хранить фактическое содержание переписок до 6 (шести) месяцев, начиная с момента их завершения.

26 июня 2018 года Правительством РФ было издано Постановление № 728, вступившее в силу 1 июля 2018 года и утвердившее Правила хранения организатором распространения информации в сети "Интернет" текстовых сообщений пользователей сети "Интернет", голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей сети "Интернет" в соответствии с Законом об информации. Согласно вышеуказанным Правилам, поставщики услуг связи в сети Интернет обязаны хранить информацию, принадлежащую пользователям, зарегистрированным по сетевому адресу на территории РФ; пользователям, вошедшим в систему по сетевому адресу на территории РФ; пользователям, зарегистрировавшимся по документу, удостоверяющему личность, или номеру телефона, выданному на территории РФ; пользователям, передающим метаданные с места нахождения на территории РФ, или пользователям, идентифицированным определенными государственными органами как расположенные на территории РФ. Телекоммуникационные службы обязаны хранить эту информацию в полном объеме в течение 6 (шести) месяцев после окончания приема, передачи, доставки или обработки сообщений.

18 декабря 2018 года в РФ был принят Федеральный закон № 472-ФЗ, который внес изменения в реестр запрещенных сведений, включив в него сведения, направленные на склонение или иное вовлечение несовершеннолетних в противоправные действия.

18 марта 2019 года был издан законопроект № 31-ФЗ, предоставляющий полномочия по блокированию интернет-сайтов в случае невыполнения требований об удалении информации, которую государство сочтет фактически недостоверной. Компании могут быть оштрафованы за "вопиющее неуважение" в сети "Интернет" к государству, властям, общественности, российскому флагу или конституции.

Локализация 

Федеральный закон № 242-ФЗ (далее "Закон о локализации персональных данных"), обязывает компании, осуществляющие сбор персональных данных о гражданах РФ, хранить такие данные в базах данных, расположенных на территории РФ. Местные базы данных должны использоваться для записи, систематизации, накопления, хранения, извлечения и уточнения (обновления или изменения данных) любых данных, за исключением ограниченных обстоятельств, указанных в частях 2-4, 8 статьи 6 Закона о персональных данных. Закон о локализации персональных данных не применяется к данным, собранным до 1 сентября 2015 года, если только данные не были обновлены после этой даты. Требование локализации распространяется не только на компании, осуществляющие деятельность на территории РФ, но и на иностранные организации, имеющие филиалы или представительства на территории РФ или ориентирующие свою хозяйственную деятельность на РФ через сеть "Интернет". Согласно распоряжению Министерства цифрового развития, связи и массовых коммуникаций РФ (далее "Минкомсвязи РФ"), организация должна либо использовать доменное имя, связанное с РФ (например, ".ru" или ".Москва"), либо предоставить русскоязычную версию своего сайта для того, чтобы считаться организацией, ориентирующей свою деятельность на РФ. Кроме того, организация должна соответствовать одному или нескольким из следующих критериев: наличие возможности совершения сделок в российских рублях, возможность заключения договора (например, доставка товаров или использование контента) на территории РФ, использование российской рекламы или четкое указание на намерение включить российский рынок в свою бизнес-стратегию.

Удаление 

В РФ нет закона об удалении данных, но пункт 7 статьи 5 Закона о персональных данных требует, чтобы персональные данные уничтожались или обезличивались по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

II. РЕГУЛИРУЮЩИЕ ОРГАНЫ И ПРАВОПРИМЕНЕНИЕ –

Роскомнадзор является органом, на который в соответствии со статьей 23 Закона о персональных данных возложена основная ответственность в сфере персональных данных. В частности, в Роскомнадзоре действует Управление по защите прав субъектов персональных данных. Обработчики данных обязаны зарегистрироваться в Роскомнадзоре в соответствии с пунктом 5 статьи 23 Закона о персональных данных Роскомнадзор разрешает физическим лицам осуществлять поиск по списку своих обработчиков данных. Более подробная информация о полномочиях Роскомнадзора доступна на сайте организации.

Если субъект данных считает, что его права были нарушены, он может обратиться с жалобой в Роскомнадзор. В соответствии с пунктом 3 статьи 23 Закона о персональных данных Роскомнадзор может приказать контролеру данных исправить, уничтожить или заблокировать неточные или полученные незаконным путем данные; приостановить или прекратить обработку данных, осуществляемую не в соответствии с Законом о персональных данных; возбудить дело и представлять интересы субъекта данных в суде. Роскомнадзор также может направлять любые материалы или информацию в компетентные органы, чтобы помочь принять решение о возбуждении уголовного дела в связи с нарушением Закона о персональных данных. Роскомнадзор также имеет право принимать административные меры в отношении лиц, признанных виновными в нарушении Закона о персональных данных, и рассматривать обращения граждан и юридических лиц по вопросам, связанным с обработкой персональных данных, в том числе полномочия принимать решения по обращениям в пределах полномочий, предоставленных Законом о персональных данных организации. С 1 июля 2017 года Федеральным законом № 13-ФЗ повышен максимальный размер административного штрафа за нарушение Закона о персональных данных с 10.000 (десяти тысяч) рублей до 50.000 (пятидесяти тысяч) рублей в случае незаконной или ненадлежащей обработки персональных данных и до 75.000 (семидесяти пяти тысяч) рублей в случае недобровольной обработки персональных данных. В соответствии с Федеральным законом № 18-ФЗ от 25 марта 2017 года Роскомнадзор также имеет право накладывать штрафы в размере до 100.000 (ста тысяч) рублей за невыполнение приказа о блокировке данных.

В апреле 2015 года Минкомсвязи РФ издало приказ, расширяющий полномочия Роскомнадзора по проведению проверок интернет-компаний с целью контроля за обработкой ими данных пользователей. Приказ позволяет Роскомнадзору проверять, как интернет-компании обрабатывают, хранят и передают текстовые, голосовые и другие электронные сообщения пользователей сети "Интернет". Проверки могут проводиться по требованию правоохранительных органов или в случае невыполнения организаторами распространения информации ранее составленного письменного запроса на соответствие требованиям законодательства. Предприятия должны быть проинформированы о проведении проверки не менее чем за 24 (двадцать четыре) часа, а Роскомнадзор ограничивается 60 (шестьюдесятью) днями для проведения проверки.

Федеральный закон № 18-ФЗ также позволяет Роскомнадзору налагать на операторов связи штрафы в размере до 100.000 (ста тысяч) рублей за невыполнение приказов о блокировке той или иной информации. Также, Федеральным законом № 18-ФЗ предусмотрены штрафы для руководителей в размере до 5.000 (пяти тысяч) рублей.

Согласно инструкциям, опубликованным Роскомнадзором в сентябре 2017 года, сайты могут быть заблокированы в РФ за нарушение законодательства о защите информации только в том случае, если суд установит, что ответственная компания нарушила закон о защите информации или иные нормативно-правовые акты в данной сфере. Такие нарушители будут внесены в реестр сайтов, нарушающих требования законодательства. Компании могут обратиться в суд с просьбой об удалении таких сайтов.

III. ОПАСНОСТЬ ДЛЯ ОКРУЖАЮЩЕЙ СРЕДЫ –

В течение последних нескольких лет Роскомнадзор очень активно осуществлял контроль за соблюдением операторами правил защиты информации. Согласно официальному отчету за 2016 год, Роскомнадзором проведена 1.307 (одна тысяча триста семь) плановых проверок и 99 (девяносто девять) внеплановых проверок юридических лиц, а также 333 проверки федеральных и муниципальных органов власти. По результатам этих проверок Роскомнадзором было выдано 619 (шестьсот девятнадцать) предписаний, обязывающих операторов устранить определенные нарушения, связанные с обработкой персональных данных. Что касается штрафов, то Роскомнадзор наложил административные штрафы на общую сумму 3.713.814 (три миллиона семьсот тринадцать тысяч восемьсот четырнадцать) рублей. Однако в последнее время плановые проверки Роскомнадзора по соблюдению требований законодательства сократились, поскольку ведомство сместило акцент с оценки соблюдения требований законодательства на процедуры контроля рисков.

В настоящее время контрольно-надзорная деятельность Роскомнадзора сосредоточена на интернет-индустрии, в частности, на социальных сетях, таких как Facebook и Twitter. Также, Роскомнадзор продолжает расследовать нарушения Закона о локализации персональных данных. В феврале 2018 года Роскомнадзор объявил, что до конца года проведет проверку Facebook на предмет соблюдения требований законодательства о защите персональных данных. 18 декабря 2018 года глава Роскомнадзора Александр Жаров сообщил, что до 17 января 2019 года направил в Facebook и Twitter уведомления о необходимости выполнять требования Закона о локализации персональных данных. 21 января 2019 года, после получения ответов от вышеуказанных компаний, Роскомнадзор объявил о начале административного производства в их отношении на том основании, что компании не представили детальные планы со сроками выполнения требований Закона о локализации персональных данных.

Против поисковой системы Google и мессенджера Telegram были предприняты аналогичные меры. 22 июня 2017 года Роскомнадзор подтвердил, что доступ к Google заблокирован в связи с тем, что Google перенаправлял пользователей на сайты, незаконно хранящие персональные данные. Доступ был восстановлен после того, как Google удалил вышеуказанные ссылки. Однако впоследствии Россия оштрафовала Google на 500.000 (пятьсот тысяч) рублей в декабре 2018 года и 700.000 (семьсот тысяч) рублей в июне 2019 года за оставшиеся ссылки, ведущие на запрещённые ресурсы.
Аналогичным образом, в июне 2017 года Telegram согласился регистрировать получаемые данные в государственном реестре, чтобы избежать санкций. Роскомнадзор обвинял Telegram в том, что террористы использовали Telegram для планирования терактов, но отступил от вышеуказанных обвинений, как только Telegram согласилась предоставить "всю необходимую по закону" информацию. Однако в марте 2018 года Telegram вновь столкнулась с проблемами, когда отказалась предоставить шифровальные ключи Федеральной службе безопасности РФ. В результате отказа Telegram Роскомнадзор получил постановление суда о внесении мессенджера в российский реестр заблокированных сайтов. С того момента Роскомнадзор заблокировал несколько сетей Google, которые Telegram использовала для обхода блокировки.

Российское законодательство предусматривает административную, гражданскую и уголовную ответственность за несанкционированный сбор, разглашение, передачу и/или использование защищенных законом персональных данных. 3 декабря 2019 года вступил в силу новый закон, который значительно увеличил штрафы за нарушения российского законодательства о защите персональных данных. Закон устанавливает максимальный штраф для юридических лиц по закону в размере 6.000.000 (шести миллионов) рублей. Повторные нарушения Закона о локализации персональных данных могут повлечь за собой увеличение штрафа до 18.000.000 (восемнадцати миллионов) рублей. Руководители могут быть оштрафованы на сумму до 200.000 (двухсот тысяч) рублей, а за повторные нарушения – до 800.000 (восьмисот тысяч) рублей. Закон также вводит повышенные штрафы за повторные нарушения Закона об информации. Роскомнадзор определил компании, которые он планирует проверять, но также сохранил возможность инициировать внеплановые проверки на основании жалоб субъектов данных или собственного онлайн-мониторинга деятельности компании.

Исходя из нынешней правоприменительной практики, если в ходе расследования произошло несколько аналогичных нарушений, касающихся персональных данных, Роскомнадзор, скорее всего, возбудит несколько административных дел за каждое нарушение против компании или конкретного сотрудника, а не одно административное дело. В частности, такая тенденция характерна для административных дел, связанных с трудовым и антимонопольным законодательством. С точки зрения гражданской ответственности, лицо, чьи права были нарушены, может потребовать возмещения ущерба и морального вреда от любого лица, нарушившего его права. Уголовная ответственность за нарушение законов о персональных данных может быть наложена только на отдельных лиц (статья 137 Уголовного кодекса РФ "Нарушение конфиденциальности личности" и статья 272 Уголовного кодекса РФ "Незаконный доступ к компьютерной информации") , На сегодняшний день существует ряд случаев, когда лицо было привлечено к уголовной ответственности за нарушение вышеуказанных статей Уголовного кодекса РФ.

Вскоре после вступления в силу Закона № 13-ФЗ Роскомнадзор выпустил новое руководство, поощряющее онлайн-сервисы к реализации политики, полностью соответствующей закону. Такие политики должны полностью описывать типы, условия и временные рамки для обработки и хранения данных. Эти политики также должны быть доступны для общественности.

IV. НОВЫЕ ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ 

A. Законы о хранении данных – 

Федеральный закон № 374-ФЗ от 6 июля 2016 года обязал операторов связи и Интернет-провайдеров хранить текстовые, голосовые, графические, звуковые, видео и другие сообщения клиентов в течение 6 (шести) месяцев. Кроме того, Интернет-провайдеры должны хранить журналы сообщений в течение 1 (одного) года, а операторы связи должны хранить журналы вызовов в течение 3 (трёх) лет. Федеральный закон № 374-ФЗ от 6 июля 2016 года также требует, чтобы Интернет-провайдеры использовали шифрование для предоставления властям ключей дешифрования. Несоблюдение требований закона может привести к административным штрафам в размере до 1.000.000 (одного миллиона) рублей для юридических лиц и до 50.000 (пятидесяти тысяч) рублей для их руководителей. Федеральный закон № 374-ФЗ от 6 июля 2016 года вступил в силу 20 июля 2016 года, но требования закона относительно хранения сообщений клиентов (текст, голос, изображение, видео и т.д.) вступили в силу до 1 июля 2018 года. В июне 2018 года Правительство РФ выпустило Постановление № 728, установившее правила хранения электронных сообщений и вступившее в силу 1 июля 2018 года.

B. Портал для отзыва согласия на использование персональных данных – 

18 мая 2017 года Роскомнадзор объявил о планах создать онлайн-портал на русском языке, который позволил бы запретить использование личной информации. Запланированный на 2019 год портал должен был содержать информацию от компаний относительно данных, которые собирают компании, и позволить пользователям отозвать своё согласие на обработку данных. Соответствующее законодательство налагает штрафы на юридические лица, которые не предоставляют информацию для вышеуказанного портала или не выполняют запросы пользователей.

C. Регулирование служб передачи сообщений – 

Россия продолжала расширять свое регулирование онлайн-коммуникаций путем принятия ряда законов. Федеральный закон № 276-ФЗ, подписанный 29 июля 2017 года и вступивший в силу 1 ноября 2017 года, требует, чтобы Интернет-провайдеры блокировали доступ к технологиям, включая VPN, которые позволяют пользователям обходить ограничения на незаконный контент. Федеральный закон № 241-ФЗ, также подписанный 29 июля 2017 года и вступивший в силу 1 января 2018 года, требует от поставщиков услуг мгновенного обмена сообщениями идентифицировать пользователей по телефонным номерам.

D. Регулирование критической информационной инфраструктуры – 

В июле 2017 года в РФ был принят Федеральный закон № 187-ФЗ, в котором основное внимание уделяется повышению безопасности, связанной с телекоммуникационными и ИТ-системами, которые считаются частью критической информационной инфраструктуры. Федеральный закон № 187-ФЗ, вступивший в силу 1 января 2018 года, требует, чтобы предприятия и государственные органы, которые владеют и управляют сетями критической информационной инфраструктуры, уведомляли регулирующие органы о кибератаках. Регулирующие органы могут получить доступ к таким системам посредством плановых и внеплановых проверок. Федеральный закон № 194-ФЗ, вступивший в силу в то же время, внёс поправки в Уголовный кодекс РФ, которые предусмотрели ответственность за неправомерное воздействие на критическую информационную инфраструктуру (статья 274.1 Уголовного кодекса РФ). Максимальное наказание за вышеуказанное преступление – 6 (шесть) лет лишения свободы. Нарушения, приводящие к "тяжким последствиям", наказываются лишением свободы на срок до 10 (десяти) лет.

В феврале 2018 года правительство издало Постановление № 127 от 8 февраля 2018 года, определившее критерии кибербезопасности для компаний, выполняющих критически важные операции инфраструктуры. Также требуется, чтобы генеральный директор каждой компании учредил комиссию по кибербезопасности критической инфраструктуры, состоящую из 5 (пяти) категорий специалистов, в том числе генеральный директор или доверенное лицо генерального директора, для определения объектов, защита которых должна быть приоритетной.

E. Биометрическая база данных – 

В декабре 2017 года Центральный банк Российской Федерации (ЦБ РФ) объявил о создании новой биометрической базы данных для финансовых услуг. В соответствии с новой системой банки могут регистрировать российских граждан в Единой системе идентификации и аутентификации (ЕСИА), лично собирая биометрическую информацию и передавая ее в Единую биометрическую систему. Граждане, зарегистрированные в ЕСИА, получат возможность удаленно открывать счета, подтверждая свои биометрические данные, используя любой телефон или компьютер с микрофоном и камерой. Российские банки начали внедрять систему в июне 2018 года. По данным ЦБ РФ, все российские банки должны предоставить услугу биометрического сбора до конца 2019 года.

В ответ на новую систему идентификации в РФ был принят Федеральный закон № 482-ФЗ от 31 декабря 2017 года, позволяющий кредитным организациям подтверждать личность клиентов путем обработки биометрических данных. В июне 2018 года Правительство РФ опубликовало серию Постановлений, в которых устанавливаются процедуры аутентификации записи биометрических идентификаторов в базе данных, определяется состав данных, помещаемых в базу данных, и устанавливается форма для получения согласия гражданина на обрабатывать данные, необходимые для регистрации в ЕСИА.

В марте 2018 года Минкомсвязи РФ было назначено регулирующим органом, отвечающим за надзор за сбором, обработкой и хранением биометрических данных. Постановление Правительства РФ вступило в силу 30 июня 2018 года.

F. Проект закона о социальных сетях  

В апреле 2018 года был обновлён законопроект, внесший поправки в Закон об информации и наложивший новые ограничения на социальные сети. Согласно вышеуказанному проекту, любая социальная сеть с более чем 100.000 (ста тысячами) ежедневных пользователей в РФ должна будет создать местное представительство в РФ, идентифицировать пользователей по номерам мобильных телефонов и удалять определенный контент.

12 апреля 2018 года законопроект был принят нижней палатой российского парламента (Государственной Думой Федерального Собрания РФ) в первом чтении.

G. Конвенция 108+   

10 октября 2018 года Россия присоединилась к 20 другим странам в подписании Протокола о внесении изменений в Конвенцию о защите физических лиц в отношении автоматической обработки персональных данных (Конвенция 108+). Протокол направлен на модернизацию Страсбургской конвенции о защите данных, с тем чтобы учесть новые вызовы в области конфиденциальности, возникшие после принятия Конвенции в 1980 году.

Протокол также будет служить обязательным международным соглашением, отражающим многие требования Общего положения о защите данных ЕС. В соответствии с Протоколом странам необходимо будет расширить положения о защите данных, которые включают реализацию более строгих требований к принципам пропорциональности и минимизации данных, более широкое определение "конфиденциальных данных" и обязательство по уведомлению о нарушении. Протокол вступит в силу через 3 (три) месяца после его подписания всеми участниками протокола. Если не все стороны подписали протокол к 10 октября 2023 года, он немедленно вступит в силу для каждой страны, которая его подписала. По состоянию на 9 января 2019 года 24 (двадцать четыре) из 53 (пятидесяти трёх) участников Протокола подписали его.

H. Расширение регулирующих полномочий – 

13 февраля 2019 года Правительство РФ приняло Постановление № 136, которое расширило доступ Роскомнадзора к информации во время проверок, предоставляя полный доступ к персональным данным, которые хранятся в компаниях. Ранее Роскомнадзор мог проверять только программное обеспечение и услуги, используемые для обработки. Постановление Правительства РФ № 136 от 13 февраля 2019 года позволило Роскомнадзору чаще проводить плановые проверки отдельных операторов. Также уточняется и расширяется перечень оснований для продления сроков аудита.

I. Плановое регулирование большого объема данных  

8 ноября 2016 года Роскомнадзор опубликовал заявление, в котором подверг критике политику защиты данных транснациональных технологических компаний. В ответ на это глава Роскомнадзора Александр Жаров пообещал принять законодательство о "больших данных" в сочетании с созданием внутреннего оператора больших данных, который будет лучше защищать данные потребителей. Позже Александр Жаров призвал государственные, частные и государственные организации реализовать свои собственные проекты обеспечения безопасности, чтобы создать безопасную цифровую среду для клиентов. В тот же день глава Роскомнадзора также наблюдал за подписанием "Кодекса добросовестных онлайн-практик", который был разработан почти 30 (тридцатью) организациями, включая организации в телекоммуникационной и банковской сфере, а также страховые компании. Проект закона о больших данных был представлен в Государственную Думу Федерального Собрания РФ 23 октября 2018 года и в настоящее время находится на рассмотрении.

J. Проект закона о регулировании сети "Интернет"  – 

В ноябре 2016 года Минкомсвязи РФ внесло проект закона о внесении изменений в Федеральный закон о телекоммуникациях. Закон будет регулировать интернет и критическую информационную инфраструктуру так, чтобы сеть "Интернет" в РФ полностью контролировалась одним регулятором, а это, в свою очередь, означает, что российская сеть "Интернет" могла бы функционировать автономно.

K. Влияние COVID-19 на закон о конфиденциальности – 

По сравнению с другими областями права (например, государственное управление, частное право, банкротство и т.д.), в рамках которых Правительство РФ в срочном порядке внесло поправки с целью адаптации к пандемии коронавируса, правила защиты данных остаются не затронутыми и продолжают применяться. В статье 6 Закона о персональных данных указывается, что обработка персональных данных может осуществляться только в том случае, если субъекты данных предоставляют свое согласие или требуется защищать их жизнь, здоровье или другие жизненно важные интересы в тех случаях, когда невозможно получить их согласие. Статья 10 Закона о персональных данных содержит дополнительные ограничения на обработку "специальных категорий персональных данных", которые включают в себя данные, касающиеся состояния здоровья человека, и отражает положения статьи 6 Закона о персональных данных, определяющие, что обработка особых категорий персональных данных разрешена без письменного согласия субъекта данных, если обработка необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта персональных данных или жизни, здоровья или других жизненно важных интересов других лиц, и невозможно получить согласие субъекта персональных данных , Поэтому обработка персональных данных, включая информацию о симптомах, контактах и ​​состоянии здоровья человека, разрешается во время этой пандемии без согласия человека, если получение такого согласия невозможно.

Дополнением Закона о персональных данных в контексте занятости является Трудовой кодекс Российской Федерации от 30 декабря 2001 года, в частности глава 14 "Защита персональных данных работника". В марте 2020 года работодатели были обязаны начать измерять температуру работников и приостанавливать работу тех сотрудников, чья температура была "высокой". Меры были реализованы не на федеральном уровне, а в форме нормативных актов, изданных органами власти субъектов Российской Федерации. Роскомнадзор является органом, на который возложена основная ответственность в соответствии со статьей 23 Закона о персональных данных.

10 марта 2020 года Роскомнадзор опубликовал на своем веб-сайте разъяснения относительно многочисленных запросов, которые он получил от работодателей, стремящихся использовать тепловизионные камеры на входе в здания для обработки персональных данных сотрудников и посетителей. Роскомнадзор уточнил, что измерение температуры работников без их согласия допускается в соответствии со статьей 88 Трудового кодекса РФ (согласно этой статье работодателю не разрешается требовать данные о состоянии здоровья работника, за исключением информации, которая отражает способность работника выполнять свои обязанности / рабочие функции). Что касается измерения температуры других посетителей, Роскомнадзор пояснил, что их согласие может подразумеваться из их желания войти в здание. Согласно этим разъяснениям, все сотрудники и посетители должны быть проинформированы о том, что тепловизионные камеры будут использоваться для измерения их температуры (рекомендуется размещать специальное уведомление на входе в здание), а любые данные, собранные этими камерами, должны быть уничтожены в течение 24 (двадцати четырёх) часов с момента сбора данных.

В целях борьбы с распространением коронавируса в городе Москве власти намеревались ввести режим "карантина", который обязывал бы всех жителей получать QR-коды на своих смартфонах каждый раз, когда они хотят покинуть свои дома. Предполагалось, что для получения QR-кода (который будет являться законным основанием для пребывания на открытом воздухе и будет действовать в течение ограниченного периода времени), каждый человек должен будет зарегистрировать свои личные данные и указать цель выхода из дома. Власти столкнулись с многочисленными возражениями, связанными с вопросами конфиденциальности и защиты личных данных, и план был временно приостановлен мэрией Москвы.