Устранить течь: вступают в силу масштабные изменения о персональных данных | Статьи
Борьба с утечкой данных обрела новые законодательные рамки. У Роскомнадзора появилось больше поводов для штрафа, у бизнеса — больше обязанностей по защите клиентских данных, а у пользователей — больше причин, чтобы не сообщать о себе ничего. Согласно новым правилам, компании должны информировать ФСБ об утечках, а пользователь может и вовсе отказать в обработке своих данных и получить те же услуги, что и обычно. Проблема в том, что сами компании, включая госсектор, не всегда знают, какая информация является персональной. Подробнее — в материале «Известий».
В курсе обработки
С сентября 2022 года вступают в силу поправки в 152-ФЗ «О персональных данных». Масштабные изменения коснутся всех, кто может считаться оператором данных — работодателей, интернет-магазинов, медклиник, небольших фотомастерских и крупных корпораций.
Ключевым нововведением является требование уведомлять Роскомнадзор об обработке персональных данных.
Прежде существовала масса исключений, которые позволяли этого не делать. Например, если информация о физлице включала только его ФИО, если требовалось оформить разовый пропуск для входа на территорию или речь шла об обработке данных по трудовому законодательству — в этих случаях в ведомство можно было не сообщать.
Редкие исключения тем не менее остались, прежде всего они касаются государственной и транспортной безопасности.
— Еще одно исключение относится к обработке персональных данных без использования цифровых технологий
Фото: ИЗВЕСТИЯ/Александр Казаков
Защита данных от утечки
Основные изменения в законодательстве касаются защиты данных, отмечает руководитель департамента цифровых решений агентства «Полилог», разработчик Polycode Людмила Богатырева.
— В последние месяцы утечки персональных данных стали носить массовый характер. По информации Роскомнадзора, с начала 2022-го произошло более 40 крупных утечек баз персональных данных, скомпрометировано 300 млн записей, — привела статистику эксперт.
По новым правилам, если у оператора случилась утечка из-за компьютерного инцидента, он обязан сообщить о ней в систему ФСБ России по обнаружению, предупреждению и ликвидации последствий компьютерных атак (ГосСОПКА). В остальных случаях при утечке потребуется уведомить Роскомнадзор и провести внутреннее расследование с выявлением виновников, поясняет Людмила Богатырева. Об утечке нужно сообщить в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования.
Преимущество поправок не столько в ускорении расследования, сколько в том, что оно в принципе становится обязательным, г
Однако, по его словам, для реального расследования нужны серьезные инструменты: системы аудита хранения данных, контроля утечек, мониторинга угроз в ИТ-инфраструктуре.— По нашим данным, такими системами оснащены самое большее треть российских компаний. А их единовременная закупка, включая оборудование, необходимое для передачи отчетов — большая финансовая нагрузка. Таким образом, качественно выполнить нормативы смогут те, кто уже этим занимается. Для других компаний срок в три дня будет казаться маленьким, особенно для расследования внешних кибератак. Поэтому появляется риск формальных отчетов, — прогнозирует собеседник «Известий».
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев
Другая проблема в том, что риск замалчивания инцидентов по факту не снижается. По словам Алексея Парфентьева, большинство компаний просто не знают, что являются операторами персональных данных и должны выполнять какие-то требования по их защите, тем более расследовать их утечки.
— Мы проводили исследование среди госслужащих и выяснили, что больше половины из них не знают, какая информация относится к ПДн! Другой наглядный пример: в Реестре операторов ПДн, который ведет Роскомнадзор, зарегистрированы 445 845 компаний, в то время как в России действуют 3,44 млн юрлиц (данные ЕГРЮЛ за 2020 г., без учета ИП и самозанятых), которые так или иначе имеют дело с персональными данными — хотя бы собственных сотрудников. Это также значит, что напрямую в поле зрения регулятора попадает только десятая часть реальных операторов данных, — рассказал эксперт «СерчИнформ».
Станут ли безопаснее облачные сервисы
Другая важная мера: если компания передает обработку данных специальному оператору («процессору»), все обязанности по их защите ложатся именно на него. Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений.
«Процессоры» и раньше должны были защищать персональные данные.
Однако прежде, так как не было жестко прописанных требований, рынок толковал такие сервисы по-разному, из-за чего некоторые компании считали возможным выполнять только ряд требований. Сейчас поправки убрали эту неопределенность, пояснила «Известиям» руководитель групп аналитики, аудита и техподдержки ИБ компании «Крок» Анастасия Федорова. Плюс новые положения закона позволяют операторам дополнительно контролировать действия «процессоров».
Фото: РИА Новости/Александр Кряжев
— Мы получаем принцип двойного контроля, не только со стороны государства, но и со стороны оператора. Поэтому теперь при выборе поставщика облачных услуг необходимо будет обращать внимание и оценивать, насколько добросовестно он выполняет свои обязательства по защите персданных. На 100% это требование не снизит риск утечек, но уровень доверия к облачному провайдеру увеличивает в разы, — считает специалист.
По наблюдению Алексея Парфентьева, мера явно заимствованная из GDPR (европейского регламента защиты данных) и однозначно положительная, так как делает прозрачнее процессы оборота ПДн.
— Если какое-либо облако, SaaS или PaaS-поставщик не готовы выполнять такие условия, они просто не подпишут контракт, — полагает собеседник.
Ответственность за утечки
Несмотря на значительные изменения ФЗ «О персональных данных», ответственность операторов, предусмотренная ст. 13.11 КоАП РФ, не изменилась, подчеркивает Владимир Ожерельев. Как правило, речь идет о небольших штрафах, едва ли поучительных для крупных операторов. В настоящее время прорабатываются новые санкции за утечку данных, отметил юрист.
В частности, Людмила Богатырева рассказала, что активно обсуждается введение оборотных штрафов за нарушение сохранности данных. Размер таких штрафов будет напрямую зависеть от выручки компании.
Фото: ТАСС/Александр Рюмин
Прежде чем вводить оборотные штрафы, неплохо было бы поработать над прозрачностью законодательства о персональных данных, простотой его применения, неотвратимостью наказания, гражданско-правовыми возможностями субъекта персональных данных, говорит руководитель отдела информационной безопасности компании «Инфобип» Денис Лукаш.
— К сожалению, не видно, что такие вопросы поднимаются. Если у предпринимателей нет возможности на это повлиять, тогда хотелось бы иметь возможность рассматривать или оспаривать оборотные штрафы в арбитражном суде, — указал он.
Вопреки отказу
С 1 сентября у обычных пользователей появляется больше прав, относительно своих же данных. Теперь операторы обязаны предоставить услуги, даже если клиенты отказываются предоставить биометрию и не дают согласие на обработку личной информации. К биометрических сведениям относятся отпечатки пальцев, изображение лица, голос, радужная оболочка глаза. Допустим, если кадровик собирает фото для пропусков, а работник отказывается его давать, первый не имеет права не оформить пропуск.
То же самое в торговле — продавец не вправе требовать от покупателя персональные данные как при покупке, так и при возврате предмета. Например, если товар оказался бракованным или не подошел, клиент может не показывать паспорт при оформлении возврата.
Фото: Global Look Press/picture alliance/Robert Schlesinger
Обычное соглашение, которое обычно дают пользователи на обработку данных, также попало в поле зрение законодателей. Теперь бездействие субъекта, в частности, его молчание, отсутствие ответа на протяжении какого-то времени больше нельзя считать согласием.
Помимо этого, пользователи получили право запросить у оператора информацию о том, какие именно данные есть у компании, и потребовать прекратить их обработку
— Из заметных несостыковок новых поправок можно отметить норму о том, что согласие на обработку персональных данных может предоставляться в случае, когда согласие является обязательным в силу закона. При этом обработка персональных данных в силу закона является отдельным основанием их обработки, которая не требует наличия согласия, — заключил юрист Владимир Ожерельев.
Трудовой кодекс РФ. Глава 14. Защита персональных данных работника
Статья 85.
Понятие персональных данных работника. Обработка персональных данных работникаПерсональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
(в ред.
Федерального закона от 30.06.2006 N 90-ФЗ)
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Статья 87. Хранение и использование персональных данных работников
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
Статья 88. Передача персональных данных работника
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
Новостные и исследовательские статьи о персональных данных
Изменил ли GDPR конфиденциальность в приложениях? Мы изучаем, как стороннее отслеживание — распространенная угроза конфиденциальности — изменилось с момента введения GDPR.
КЛЮЧЕВЫЕ СЛОВА: Персональные данные, Защита персональных данных, Мобильные приложения
Важность персональных данных для цифровой экономики подчеркивает проблемную информационную асимметрию между потребителями и участниками рынка, управляемыми данными. Усиление защиты потребителей должно было бы иметь дело с отсутствием прозрачности этой настройки черного ящика и ошибочным использованием согласия в качестве модели регулирования. Защита прав потребителей должна быть
Фернандо Н. ван дер Влист и Энн Хелмонд обсуждают Data Selfie, расширение для браузера с открытым исходным кодом, которое собирает и анализирует данные о вашем поведении на facebook.
com
Конфиденциальность означает контроль над нашими личными данными… и юрист по правам человека Катажина Шимелевич объясняет, почему это важно, когда речь идет об Общем регламенте ЕС по защите данных.
Новое датское исследование ставит под сомнение краеугольный камень режима защиты данных в Европе: согласие пользователя. В этой статье обсуждаются выводы в свете концепции «конфиденциальность как право человека».
КЛЮЧЕВЫЕ СЛОВА: согласие пользователя, конфиденциальность, персональные данные
Обзор недавней экономической литературы, направленный на эмпирическую оценку того, как пользователи Интернета оценивают свои личные данные, предлагая возможные ограничения и подводные камни в экспериментах, а также делая ориентированные на политику замечания, посвященные переносимости данных.
КЛЮЧЕВЫЕ СЛОВА: конфиденциальность, персональные данные, экономическая ценность
Internet Policy Review — это открытый и рецензируемый журнал по регулированию интернета.
Ученые, регулирующие органы, журналисты, активисты и другие заинтересованные лица публикуются в журнале в различных форматах
- Исследовательские статьи
- Углубленные научные исследования и эссе
- Концепции
- Критические размышления о возникающих основные концепции цифрового общества
- Редакционные статьи
- Контекстные или тематические введения в специальные выпуски
- Эссе
- Свободная форма, но всесторонние разногласия по вопросам академического или социального значения
- Новости
- Журналистские отчеты о событиях, представляющих интерес для сообщества сфера интернет-политики
- Open Abstract
- Расширенные рефераты для незавершенных работ, которые проходят общественное рецензирование
рецензируются
без рецензирования
Опубликовано
Институт Александра фон Гумбольдта Интернета и обществаЛоготип Института Александра фон Гумбольдта Интернета и общества gGmbHв сотрудничестве с
и дополнительные партнеры
Следуйте за нами @POLICYR
электронная почта Подписаться на НОВОСТИ
Статья 5.
Принципы обработки персональных данныхСодержание
- ГЛАВА I Общие положения Ст. 1–4
- ГЛАВА II
Принципы
Ст. 5 — 11
- Статья 5. Принципы обработки персональных данных
- Статья 6. Законность обработки
- Статья 7. Условия согласия
- Статья 8.
Условия, применимые к согласию ребенка в отношении услуг информационного общества - Статья 9. Обработка специальных категорий персональных данных
- Статья 10. Обработка персональных данных, касающихся судимостей и правонарушений
- Статья 11. Обработка, не требующая идентификации
- ГЛАВА III Права субъекта данных Ст. 12–23
- ГЛАВА IV
Контроллер и процессор
Ст. 24 — 43
- ГЛАВА V Передача персональных данных в третьи страны или международные организации Ст. 44 — 50
- ГЛАВА VI Независимые надзорные органы Ст. 51 — 59
- ГЛАВА VII Сотрудничество и согласованность ст. 60 — 76
- ГЛАВА VIII
Средства правовой защиты, ответственность и штрафы
ст. 77 — 84
- ГЛАВА IX Положения, касающиеся конкретных ситуаций обработки Ст. 85 — 91
- ГЛАВА X Делегированные акты и имплементационные акты ст. 92 — 93
- ГЛАВА XI Заключительные положения ст. 94 — 99
Условия, применимые к согласию ребенка в отношении услуг информационного общества
24 — 43
77 — 84Подходящие реквизиты для статьи 5
- 39
Любая обработка персональных данных должна быть законной.
