Интервью с Михаилом Емельянниковым о защите персональных данных
Редакция CISO CLUB пообщалась с Михаилом Емельянниковым, управляющим партнером консалтингового агентства «Емельянников, Попова и партнеры» о способах защиты персональных данных, подготовке к проверке регуляторов, особенностях российского и европейского законодательства, необходимости использования сертифицированных средств защиты информации и многом другом. 1) Что такое персональные данные? Каков минимальный состав персональных данных? Телефон или телефон и ФИО это персональные данные? Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Такая формулировка допускает сколь угодно широкое определение того, что является персональными данными. Персональными данными является любая информация, относящаяся к известному оператору лицу или любая информация, позволяющая определить конкретное физическое лицо. И минимального состава данных здесь нет, он зависит от конкретного контекста обработки.
Например, номер телефона и ФИО – это всегда персональные данные, но для оператора связи всего лишь номер телефона его абонента – тоже персональные данные, поскольку владелец номера оператору известен. С учетом проникновения в нашу жизнь Интернета все больше регуляторов и специалистов рассматривают профили анонимных посетителей сайтов, позволяющие этих посетителей различать, отличать друг от друга, прогнозировать их поведение, таргетировать рекламу тоже как персональные данные. После принятия GDPR ряд европейских специалистов говорили о том, что адрес электронной почты, составленный из полного имени, фамилии и названия компании уже сам по себе является персональными данными. Абсолютно все, что работодатель знает о своем работнике, является персональными данными для работодателя как оператора. 2) Является ли фото без ФИО и прочих данных персональными данными? Какие есть особенности при защите биометрических персональных данных? Фото без сведений о его владельце персональными данными не является, за исключением случая, когда оно используется в системе распознавания лиц, в которой уже есть математический шаблон изображения лица владельца.
Например, Единая биометрическая система, в которую вносятся фото и слепки голоса клиентов банка, – анонимная, в ней есть только идентификатор владельца из ЕСИА, но она является информационой системой персональных данных. С другой стороны, фото даже с указанием того, кому оно принадлежит, вне системы распознавания лиц, используемой для биометрической идентификации, биометрическими данными на является. Биометрическая система персональных данных не может иметь уровень защищенности ниже третьего, поэтому, по сравнению с наиболее распространенными системами 4 уровня защищенности, в ней надо использовать большее количество мер обеспечения безопасности. Плюс для биометрических данных есть довольно жесткие ограничения, связанные с возможностью их обработки. 3) С чего начать руководителю отдела ИБ при подходе к задаче защиты персональных данных? Кто должен участвовать в организации процесса по защите персональных данных кроме CISO? Я считаю, что организация работы с персональными данными в организации – вообще задача не CISO.
Руководитель службы ИБ должен решать вопросы реализации организационных и технических мер безопасности при обработке персональных данных в автоматизированных системах, и начинать надо с нормативки: правильно установить уровень защищенности персональных данных, сформировать модель или перечень актуальных угроз, определить механизмы их нейтрализации и средства которыми они будут реализованы с учетом возможности использования как базовых, так и компенсирующих мер. А затем строить подсистему безопасности вместе со специалистами ИТ-подразделения. Важное место здесь занимает правильное назначение прав пользователям системы, которое невозможно сделать без взаимодействия с руководителями бизнес-подразделений, обрабатывающих персональные данные. 4) Защита персональных данных – это формальность для выполнения требований регуляторов или необходимый набор мер с точки зрения реальной безопасности? Это может быть и формальностью, но особой необходимости заниматься формализмом нет – проверить реализацию мер защиты в негосударственной системе сегодня без специального наделения правительством соответствующими полномочиями не может никто (исключение здесь, пожалуй, только банки, поскольку Банк России имеет соответствующие полномочия, хотя в законе они и не прописаны).
Но те, для кого персональные данные являются ценностью – банки, страховые компании, операторы связи и т.д., как правило, защищают данные не только для формальной демонстрации регуляторам. Но и здесь количество утечек говорит о недостаточности усилий, скорее всего – из-за отсутствия последствий в случае неправомерного доступа третьих лиц к персональным данным. 5) Нужна ли неавтоматизированная обработка персональных данных в 2020 году? Какие существуют принципиальные отличия по защите персональных данных в «бумажном» и электронном виде? Пока без нее обойтись нельзя. Не все вопросы решаются онлайн, но сфера бумажного документооборота неуклонно сужается. Вот и новые «бумажные» трудовые книжки с 2021 года выдавать не будут. Отличия в защите принципиальны. При неавтоматизированной обработке документы с персональными данными необходимо защитить только от физического доступа к ним злоумышленника, при автоматизированной варианты атак гораздо более разнообразны, в том числе они могут совершаться удаленно, поэтому и защищаться надо от большого количества внутренних и внешних угроз.
6) Процесс защиты персональных данных лучше доверить подрядчику или выполнить самим? Где взять шаблоны и примеры ОРД? Это зависит от того, какими силами и средствами располагает оператор. Если служба ИБ большая, в ней работают квалифицированные кадры, то многие задачи она сможет решить самостоятельно. Но даже в таких организациях комплексное проектирование развертывание больших и сложных систем безопасности делает подрядчик. У многих же операторов службы ИБ и даже ИТ вообще нет. Естественно, в них работы будут выполняться внешним подрядчиком. Кроме того, всё большая миграция в дата-центры и облака сводит участие оператора в обеспечении безопасности к минимуму. Все более популярными становятся SecaaS и услуги внешних SOC. Так что будущее – за аутсорсингом. 7) Как подготовиться к проверке регуляторов? Верно утверждение, что проверки подлежат только ОРД, наличие СЗИ и их настройки нередко остаются без внимания? Готовиться надо, проводя внутренний контроль или внешний аудит соответствия обработки требованиям законодательства и ревизию своих локальных нормативных актов.
Поскольку Роскомнадзор не имеет полномочий по проверке требований статьи 19 закона «О персональных данных», определяющей состав и содержание мер безопасности, а ФСБ и ФСТЭК без наделения их полномочиями Правительством РФ прийти с проверкой в коммерческую организацию не могут, вопросы технической защиты остаются в негосударственных системах вне контроля регуляторов. Исключения, как я отмечал выше составляют банки. Есть еще мероприятия прокурорского надзора, к которым привлекаются эксперты из территориальных органов ФСБ России. Но не надо забывать, что Роскомнадзор, кроме ОРД, проверяет еще и процессы, и вот там как раз выявляется наибольшее количество нарушений. 8) Легитимно ли использовать несертифицированные ФСТЭК и ФСБ СЗИ? По каким критериям следует выбирать СЗИ для защиты персональных данных? Эффективны ли организационные меры вместо внедрения СЗИ? Приказ ФСТЭК № 21 прямо допускает применение компенсирующих мер, кроме того, ФСТЭК, начиная примерно с 2017 года, допускает применение не только сертификации, но и иных способов оценки соответствия.
В частности, испытаний и приемки, которые оператор может выполнить самостоятельно. ФСБ иных способов оценки соответствия, кроме сертификации, не признает, однако сертифицированные СКЗИ нужны для нейтрализации актуальных угроз, так что при определении необходимости использования СКЗИ начинать надо именно с оценки угроз. Кроме того, на сайте ФСБ есть Извещение от 18.07.2016, в котором указано, что обязательная сертификация средств шифрования не требуется при передаче сообщений в сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну. А СЗИ необходимо выбирать, в первую очередь, исходя из функционала, способности нейтрализовать актуальную угрозу, совместимости с другими технически средствами в информационной системе, а не в зависимости от наличия голографической наклейки. Организационные меры полностью заменить технические не могут, но иногда полезны и, как правило, гораздо более дешевы. 9) Как защитить персональные данные в облаке? Что делать если облако находится за пределами РФ? При размещении персональных данных в облаке необходимо прописать в договоре с провайдером состав и содержание мер, обеспечивающих соответствие необходимого и известного оператору уровня защищенности, и ответственность провайдера за их несоблюдение.
Здесь наиболее эффективными мерами являются штраф или неустойка в случае нарушения требований безопасности, которые не требуют доказательства размеров понесенных заказчиком-оператором убытков. При размещении данных в зарубежном облаке следует тщательно изучить описание мер безопасности, принимаемых провайдером (они серьезными игроками прописываются очень детально), и оценить их достаточность для защиты размещаемых в облаке персональных данных. Риски, конечно, лежат на операторе, но и значимых утечек по вине провайдеров практически нет, в отличие от операторов. 10) Насколько эффективно внедрять ИСПДн с несколькими УЗ? Или лучше «построить» одну ИСПДн, соответствующую максимальным требованиям по защите ПДн? Одна ИСПДн максимального уровня защищенности, с точки зрения проектирования может быть и предпочтительнее, но цена средств защиты и их эксплуатации, которые не являются необходимыми для некоторых ее компонентов, может оказаться более значимым фактором при принятии решения. Мы часто встречаемся в проектах со случаями, когда крупный оператор, использующий большое количество различного прикладного программного обеспечения и СУБД, объединяет эти компоненты в системы по функциональному признаку (персонал, заказчики, конечные потребители и т.
д.), и такой подход для некоторых операторов может оказаться оптимальным. 11) Аутсорсинг ИБ, ИТ и отсутствие собственных СЗИ – это преграда для защиты персональных данных? Напротив, это совсем не преграда, а способы выполнить требования закона без дополнительного штата персонала, а часто – и дешевле, чем полностью своими силами. 12) Для каких случаев актуально обезличивание персональных данных? Приведите примеры. Обезличивание эффективно всегда, поскольку утечка обезличенных данных, как правило, не влечет серьезных последствий для субъекта. Но оно возможно не во всех системах. К тому же, надо различать обратимое обезличивание (псевдономизацию в GDPR) и необратимое (анонимизацию в том же европейском регламенте). Наше законодательство об этих различиях молчит, что порождает путаницу. Кроме того, Роскомнадзор примерно с 2016 года занял очень странную для меня позицию, в соответствии с которой обезличивать персональные данные могут только те операторы, которым это предписано законом, и постоянно делает операторам по этому поводу замечания при проверках, рекомендуя удалить упоминания об обезличивании из локальных актов.
Поэтому этот способ снижения негативных последствий инцидентов с персональными данными у нас используется редко, а жаль. А пример приведу один. Оператор решил перенести «разбухшую» CRM-систему в облако за рубежом. Размещение там обезличенных данных упрощает выполнение требований законодательства, не требует согласия субъектов, в то же время наличие базы индексов, которыми заменены идентифицирующие данные в CRM, локально у оператора в России позволяет использовать весь функционал CRM-системы зарубежного вендора. 13) В чем разница между отечественным и западным законодательством по защите информации ограниченного доступа, в том числе персональных данных? Если сравнивать закон «О персональных данных» и регламент Евросоюза GDPR, различия очевидны. GDPR гораздо более детальный, с большим количеством определений используемых терминов и примеров, разъяснений. У нас – только требования, но при этом значительная часть применяемых в законе понятий не определена, что очень мешает его буквальному толкованию и единообразному применению.
Следующее отличие – концептуальное. Европейский регламент основан на риск-ориентированном подходе, от оператора (контролера) постоянно требуется оценивать риски для субъектов, риски использования новых технологий, массовой обработки данных и т.д. В 152-ФЗ слово «риск» не используется ни разу! Из такого подхода вытекает еще одно серьезное отличие. Регламент не содержит конкретных требований к обеспечению безопасности и не предполагает принятие для их детализации нормативных актов. Оператор сам определяет состав и содержание мер , может пользоваться или не пользоваться стандартами и т.д. Но следствие этого – значительно более серьезная ответственность за инциденты, в первую очередь – за утечку, порядок действий при которой детально расписан, и его несоблюдение само по себе влечет огромные штрафы. И максимальный размер штрафов – это тоже существенное различие российского и европейского законодательства. 14) Какие меры необходимо принять для более эффективного внедрения процесса обеспечения безопасности персональных данных помимо увеличения штрафов? Надо заняться, наконец-то, защитой прав субъектов, а не проверкой выполнения формальных требований типа подачи уведомления об обработке и его содержания.
Исправить ошибки и несоответствия в законе, которых до сих про достаточно. Переключиться на проверку организаций, допустивших серьезные инциденты, а не отобранных по непрозрачным критериям компаний и учреждений, где ни инцидентов, ни жалоб субъектов не было. Штрафы надо не только увеличивать, но и ввести, в первую очередь, штрафы за утечку независимо от виновника такого инцидента. И привлекать к ответственности не за невыполнение требований, часто избыточных и формальных, а за нанесение вреда субъекту, нарушение его прав и неправомерные действия с персональными данными. 15) Как стать экспертом по защите персональных данных? Какие учебные курсы необходимо закончить? Курсы нужны, чтобы войти в тему, разобраться в основах или конкретных узких вопросах. Экспертом они не сделают. Надо много читать, думать, пытаться разобраться в сложных вопросах, которых очень много, работать в живых проектах, общаться с регуляторами и надзорными органами, активно взаимодействовать с коллегами. Это очень долгий и сложный путь, требующий много времени и больших усилий.
16) Какие изменения ждет законодательство в области защиты персональных данных в России? К сожалению, тенденции неутешительные – все большее ограничение приватности, все большее вмешательство государственных органов и увеличение их прав, бесконтрольное накопление и хранение все большего объема сведений о субъектах госорганами и частными компаниями, создание всевозможных «цифровых рейтингов», которые в перспективе будут затрагивать права и свободы граждан, построение глобальной системы слежения с использованием распознавания лиц, номеров автомобилей, геолокации и т.д. 17) Ваше личное мнение относительно последних новостей в СМИ по сбору персональных данных правительством Москвы? Отрицательное. Эти меры не способствуют достижению декларируемой цели, вводятся со значительными нарушениями законодательства и принуждением к его нарушению санкциями вплоть до административной приостановки деятельности, непропорциональны и избыточны, не эффективны. Их принятие будет иметь очень серьезные последствия для граждан и бизнеса, но для граждан – в первую очередь.
Законы о защите данных и конфиденциальности 2020 — Защита конфиденциальности
Самые читаемые: автор, Россия, сентябрь 2022 г.
Вопросы защиты данных и конфиденциальности продолжают привлекать внимание за последний год, особенно в связи с тем, что многие компании наращивают оцифровывать свои продукты, услуги и внутренние процессы. В то время как тенденция к увеличению цифровизации набрал обороты, уникальные обстоятельства 2020 года и проблемы, созданные COVID-19активизировали эти усилия, существенно увеличивая распространение технологий и подчеркивая соответствующие вопросы защиты данных и конфиденциальности.
В. По вашему опыту, компании в России Федерации необходимо сделать больше, чтобы полностью понять их конфиденциальность данных и обязанности по защите в эпоху цифровых технологий?
О: Во всем мире конфиденциальность и защита данных стали одним из
самые обсуждаемые темы в сфере информационных технологий (ИТ)
отрасли за последние пару лет, а российская юрисдикция
не исключение в этом отношении.
В. Не могли бы вы рассказать о последних события, затрагивающие корпоративное хранение, обработку и передачу данные в РФ?
A: При сборе персональных данных оператор данных должен предоставить
субъект данных, по его или ее запросу, с определенными необходимыми
части информации, включая, но не ограничиваясь, юридические
основания и цели обработки данных, способы и продолжительность
обработка данных, а также информация о трансграничных данных
трансфер, если планируется.
В. Каким образом власти увеличили мониторинг и правоприменение в отношении данных защиты и конфиденциальности в последние годы?
A: Местные законы о конфиденциальности данных очень строго соблюдаются в
последние годы, и Российский орган по защите данных
(Роскомнадзор) достаточно активно занимается мониторингом национальных данных
соблюдение защиты. Отмечается рост числа случаев
утечки данных в последнее время, и местная судебная практика, посвященная данным
защита конфиденциальности постоянно развивается. 1 июля 2017 г.
административные санкции за различные нарушения конфиденциальности были
существенно возросла. Например, обработка данных, которая не
в соответствии с требованиями законодательства в отношении объема предоставляемых данных
в письменном согласии субъекта данных, может в конечном итоге привести к
штраф в размере 75 000 рублей для субъекта хозяйствования, выступающего в качестве данных
оператор. Кроме того, в случае незаконной обработки данных в Интернете,
доступ к нарушающему веб-сайту может быть заблокирован в соответствии с действующим
решение суда в России.
В. Какие выводы мы можем сделать из недавних громких утечка данных? Какое влияние эти ситуации оказали на данные охранный ландшафт?
О: Было довольно много громких случаев утечки данных в
Россия в последние годы. Все они окружены разными
предыстория, обстоятельства, исход и решения суда. Для
например, в Telegram, суд общей юрисдикции РФ
сервис мгновенных сообщений Telegram оштрафован на 800 000 рублей за сбой
предоставить Федеральной службе безопасности (ФСБ) его расшифровку
ключи в порядке, установленном статьей 10.1 (4.1) Российских Данных
Закон о защите. 22 октября 2018 года обращение Telegram было
отклонено, а административный штраф применен по ст.
В. Какие шаги могут предпринять компании для снижения рисков, связанных с данными возникающие в результате использования третьих лиц, таких как консультанты, агенты и раздатчики?
A: Третьи лица, включая консультантов и агентов, в основном
подчиняются тем же юридическим требованиям, что и операторы данных, и они
должны соответствовать общей обработке данных и определенному соответствию
правила, установленные российским законодательством.
Обычно такие третьи лица
действовать в соответствии с соглашениями об обработке данных, а операторы данных будут
нести ответственность за все действия или бездействие обработчиков данных перед
субъекты данных, в то время как соответствующие обработчики данных должны принимать
ответственность и связанные с этим риски перед операторами данных. Из
конечно, субъекты данных должны дать свое согласие на передачу
свои личные данные сторонним процессорам.
В. Что компании могут сделать для управления внутренней конфиденциальностью данных риски и угрозы, такие как ответственность, возникающая в результате утери устройств или действия недобросовестных сотрудников?
О: Должны быть предприняты определенные юридические, технические и организационные шаги.
предпринимается с точки зрения общего соответствия обработки данных и
управление конфиденциальностью, в том числе против рисков и угроз кражи данных,
действия или бездействие мошеннических сотрудников.
В. Какой важный совет вы можете дать компаниям в Российской Федерации по управлению рисками данных и поддержанию соблюдение нормативных требований в будущем?
О: При ведении бизнеса в России важно управлять данными
риски и поддерживать нормативные и регулярные требования конфиденциальности на
надлежащее и законное основание. Назначение местных данных
сотрудник по защите (DPO), принятие локальной защиты данных
политика и другие необходимые документы о конфиденциальности, а также
внедрение надлежащих мер безопасности, будет первым
ключевые вещи, которые нужно сделать, среди прочих действий, в дополнение к определению
общие бизнес-процессы, потоки данных и соответствующие данные
категории.
Эта статья является частью Законов о защите данных и конфиденциальности. Годовой обзор 2020 от Financier Worldwide. Полный список содержание, пожалуйста, посетите https://www.financierworldwide.com/indepth-feature-data-protection-privacy-laws-2020
Содержание этой статьи предназначено для предоставления общего руководство по теме. Следует обратиться за консультацией к специалисту о ваших конкретных обстоятельствах.
ПОПУЛЯРНЫЕ СТАТЬИ ПО: Конфиденциальность из Российской Федерации
Nationalrat Beschließt Hinweisgeberschutz-Gesetz
Dorda Rechtsanwälte GmbH
Mit fast eineinhalb Jahren Verspätung wurde das HinweisgeberInnenschutz-Gesetz («HSchG») am Mittwoch im Nationalrat endlich beschlossen.
Im nächsten Schritt wird der Bundesrat damit befasst.
Ущерб от утечки данных: когда он действительно несущественен?
RDJ LLP
В этом обзоре мы рассматриваем последние события в Ирландии и ЕС, которые помогут понять, как организации измеряют нематериальный ущерб, понесенный физическими лицами в результате нарушения их прав на защиту данных.
Управление Комиссара по информации Великобритании публикует подробности выговоров
Cooley LLP
6 декабря 2022 года Управление Комиссара по информации Великобритании (ICO) объявило, что опубликует подробности всех будущих выговоров, в том числе вынесенных с января 2022 года и далее…
Сохранение данных о сотрудниках для судебных разбирательств
Herrington Carmichael
Недавно Апелляционный трибунал по трудовым спорам (EAT) постановил, что ответчик, хранивший данные о сотрудниках более 10 лет, возможно, нарушил правила защиты данных,.
..
Код приложения для Великобритании содержит указания по соблюдению конфиденциальности и безопасности
Sheppard Mullin Richter & Hampton
Новый свод правил Великобритании для операторов магазинов приложений и разработчиков приложений предоставляет компаниям ресурсы, связанные с конфиденциальностью. Это также подчеркивает ожидания конфиденциальности ICO.
Как помолвка на День святого Валентина может повлиять на ваши права собственности
Birketts
Мы не были бы верны себе как юристы, если бы не учитывали наихудшие сценарии и риски. Мы не приносим извинений за это.
Законы о защите СМИ и данных в 2021 году: что нового?
Мы хотели бы сообщить вам, что в конце 2020 года были приняты несколько законов, которые окажут значительное влияние на регулирование в области ИТ и защиты данных (« Поправки »).
Первая поправка к российскому законодательству направлена на обеспечение гарантий прав граждан на свободный поиск, доступ и распространение информации.
Вводится статус владельца интернет-ресурса, причастного к нарушениям фундаментальных прав граждан России.
Генеральный прокурор по согласованию с МИД России может присвоить этот статус владельцу интернет-ресурса, в том числе дискриминирующего материалы российских СМИ. Такое решение может быть принято, если интернет-ресурс ограничивает доступ к общественно важной информации по национальному, языковому признаку или в связи с введением санкций против России или ее граждан. О таком решении должен быть уведомлен владелец интернет-ресурса.
В случае, если владелец интернет-ресурса не прекращает цензуру или каким-либо образом ограничивает доступ к аккаунтам российских СМИ, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (« Роскомнадзор ») вправе полностью или частично ограничить доступ к такому интернет-ресурсу.
Данная поправка вступила в силу 10 января 2021 года.
Новые поправки влекут за собой значительные штрафы за неудаление запрещенной информации по запросу Роскомнадзора.
Штрафы, налагаемые на (i) хостинг-провайдеров или любое лицо, позволяющее другим лицам публиковать информацию в Интернете, за неограничение доступа к запрещенной информации и (ii) владельцев веб-сайтов или интернет-ресурсов, за неудаление запрещенной информации, может составлять до 4 000 000 рублей (около 43 500 евро, 53 000 долларов США) за первое нарушение и до 10% годового оборота компании за предыдущий календарный год (но не менее 4 000 000 рублей) за одно последующего правонарушения.
Если запрещенная информация содержит пропаганду экстремизма, детской порнографии или наркотиков, ответственность увеличивается до 8 000 000 рублей (около 87 000 евро, 106 000 долларов США) за первое нарушение или до 20% годового оборота компании с момента предыдущего календарного года (но не менее 8 000 000 рублей) за последующее правонарушение.
Данная поправка разработана в связи с тем, что российское законодательство не предусматривает ответственности хостинг-провайдеров, владельцев сайтов и информационных ресурсов, не ограничивающих доступ или не удаляющих информацию, распространение которой запрещено в России.
Данная поправка вступила в силу 10 января 2021 года.
Данная поправка вводит запрет на публикацию информации о деятельности и частной жизни силовиков и государственных служащих и их родственников. По действующему законодательству такой запрет был предусмотрен только в случае угрозы жизни должностных лиц.
Авторы данной поправки отмечают, что расширяется практика несанкционированной публикации в сети Интернет информации о деятельности и частной жизни сотрудников силовых структур и государственных органов и их родственников, что негативно сказывается на их способности выполнять свои функции.
Полагаем, что в связи с этой поправкой суд может признать такую информацию запрещенной и обязать сайты ее удалить.
Данная поправка вступила в силу 10 января 2021 года.
Согласно поправкам, социальные сети определяются как веб-сайты, информационные системы или программное обеспечение, которые одновременно подпадают под следующие критерии:
используемые для предоставления и распространения информирование путем создания персональных страниц пользователей на русском, официальных языках республик России и других языках русских национальных групп;
содержат рекламу, направленную на привлечение внимания потребителей на территории Российской Федерации;
ежедневно сайт посещают более 500 000 пользователей сети Интернет с территории Российской Федерации.
Если такой ресурс считается социальной сетью, он будет включен в реестр, который уполномочен вести Роскомнадзор.
В течение 3 дней после получения социальной сетью уведомления Роскомнадзора о включении в реестр хостинг-провайдер или иное лицо, осуществляющее размещение социальной сети в сети Интернет, обязано идентифицировать владельца социальной сети и предоставить информацию о нем в Роскомнадзор.
В случае включения ресурса в реестр социальной сети такой ресурс становится обязанным выявлять и ограничивать доступ к нелегальному контенту. Это детская порнография, пропаганда наркотиков и суицида, реклама онлайн-казино, дистанционная продажа алкоголя, а также информация, выражающая «явное неуважение» к обществу и государству.
Кроме того, в социальной сети ее владельцем должна быть размещена следующая информация:
имя, адрес электронной почты и электронная форма для отправки запросов о любом противоправном содержании;
годовые отчеты о результатах рассмотрения обращений и контрольных мероприятий;
условия использования социальной сети.
Данная поправка вступит в силу с 1 февраля 2021 года.
Новый закон определяет использование Единой биометрической системы (« УБС ») для удаленной идентификации для получения широкого спектра финансовых и государственных услуг. В настоящее время только банки с базовой лицензией имеют право использовать UBS для открытия банковских счетов и выдачи кредитов. После вступления в силу Законопроекта об УБС биометрические данные (записи голоса, личные изображения и т. д.) могут использоваться для идентификации государственными органами, органами местного самоуправления, финансовыми организациями, индивидуальными предпринимателями, нотариусами и т. д.
Эта поправка вступила в силу 1 января 2021 года, однако некоторые положения поправки вступят в силу 1 января 2022 года.
Новый закон существенно меняет правовую среду в отношении использования общедоступных персональных данных.
Согласно новому закону, контролеры данных, делающие персональные данные общедоступными для их дальнейшего использования третьими лицами, должны:
получать конкретные согласия физических лиц, которые не должны быть объединены с какими-либо другими согласиями;
позволяют физическим лицам выбирать типы своих персональных данных, которые должны быть общедоступными, и устанавливать ограничения на использование таких персональных данных;
позволяют отдельным лицам отозвать свое согласие на обнародование данных с немедленным вступлением в силу;
устанавливают правила использования общедоступных данных с целью получения согласия физических лиц и размещают такие правила на своих соответствующих веб-ресурсах.
Что касается третьих лиц, которые намереваются использовать общедоступные персональные данные, такие третьи лица могут:
полагаться на согласие, полученное контролером, делая данные общедоступными, учитывая определенные правила такого использования этим контроллером;
полагаться на согласие, предоставленное физическим лицом Роскомнадзору, через специальную веб-платформу, которая должна быть создана в соответствии с законом, а также с учетом правил использования данных, установленных Роскомнадзором;
самостоятельно убедиться, что у них есть соответствующие правовые основания для использования таких общедоступных персональных данных.
Новые требования будут вступать в силу постепенно с 1 марта и 1 июля 2021 года.
Изменения направлены на более детальное регулирование ИТ и защиты информации в России. Они устраняют правовые пробелы и ужесточают существующую ответственность за правонарушения, совершенные в цифровом пространстве.
Таким образом, у российских властей появится больше механизмов воздействия на сайты, СМИ, социальные сети и видеохостинги. Мы полагаем, что предстоящие значительные штрафы и возможное занесение в «черные списки» изменят особенности обеспечения соблюдения российского законодательства, в том числе для компаний, не имеющих присутствия в России.
<>
Загрузите этот информационный бюллетень.
Надеемся, что информация, представленная здесь, будет вам полезна. Если вы или кто-либо из ваших коллег хотели бы получать наши информационные бюллетени по электронной почте, пожалуйста, заполните форму «Подписаться» внизу страницы.
Отрасль: телекоммуникации, средства массовой информации и технологии
Примечание: Обратите внимание, что вся информация, представленная в этом письме, была взята из открытых источников. Ни Юридическая фирма АЛРУД, ни автор настоящего письма не несут никакой ответственности за последствия любых решений, принятых на основании данной информации.
Мы надеемся, что представленная здесь информация будет для вас полезной.
Если кто-либо из ваших коллег также хотел бы получать наши информационные бюллетени, отправьте им ссылку для заполнения Форма подписки .
Узнайте больше о нашей практике:
Защита данных и кибербезопасность
Телекоммуникации, СМИ и технологии
Примечание: Обратите внимание, что вся информация, представленная в этом письме, была взята из открытых источников. Ни Юридическая фирма АЛРУД, ни автор настоящего письма не несут никакой ответственности за последствия любых решений, принятых на основании данной информации.
Если у вас есть какие-либо вопросы, пожалуйста, не стесняйтесь обращаться к нам.
