В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.

Автор: Ксения Шудрова, эксперт по информационной безопасности

Чего ожидать?

В Государственной Думе находятся на рассмотрении четыре законопроекта. Два из них (502113–8 и 502104–8) касаются ужесточения наказаний за незаконную обработку персональных данных, в том числе за утечки, в части уголовной и административной ответственности. Ранее говорилось об оборотных штрафах, но, судя по тексту проектов, наказание не будет зависеть от масштаба организации. Максимальный размер штрафа – 500 млн руб., также возможно лишение свободы сроком до пяти лет.

Третий законопроект (353266–8) принят в третьем чтении и предусматривает появление новой статьи в КоАП, касающейся нарушений требований в области размещения биометрических персональных данных. Штрафы за нарушения в этой сфере составят до 1 млн руб.

Четвертый законопроект (992331–7) касается обезличивания ПДн. Президент дал поручение принять изменения в ФЗ "О персональных данных" до 15 декабря этого года. Нас ждет новая статья 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним". В Минцифры планируется создание центра обезличивания ПДн [1].

Появились также новые требования к обезличиванию в области медицины – приказ Министерства здравоохранения Российской Федерации от 24.11.2023 № 630н "Об утверждении требований к обезличиванию информации ограниченного доступа". Так что можно прогнозировать формирование тренда на будущий год.

Не только штрафами страшны утечки – Правительство России поддержало инициативу Минцифры о компенсации вреда пострадавшим. Если поправки вступят в силу, оператор обязан будет уведомлять субъекта персональных данных об утечке, а у субъекта появится право на выплату через Госуслуги [2].

Из неподтвержденных официально трендов можно выделить информацию о появлении спецоператора, в роли которого может выступить Роскомнадзор, а также о появлении "лицензий" на обработку [3]. Идея лицензирования деятельности по обработке персональных данных давно витает в воздухе, так что вполне вероятно появление инициатив в этом направлении.

Что делать?

Соблюдать рекомендации Роскомнадзора

08 августа 2023 г. вышли рекомендации Роскомнадзора операторам персональных данных. Рекомендации носят общий характер: минимизация перечня ПДн, раздельное хранение, отказ от избыточности, своевременное уничтожение, уведомление регулятора об утечках, применение мер защиты, в том числе технических и физических, а также обязательное назначение ответственного лица. Немаловажно периодически сверяться с ними в части стратегии защиты персональных данных в организации.

Сведения из уведомления об обработке персональных данных привести в соответствие с политикой оператора в отношении обработки персональных данных

07 ноября 2023 г. в Минюсте России был зарегистрирован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 августа 2023 г. № 720 "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187". Приказом внесен новый индикатор риска, касающийся установления трех и более фактов несоответствия информации, указанной оператором в уведомлении об обработке персональных данных, сведениям, указанным в политике в отношении обработки персональных данных, и размещенным на сайте организации. Обязанность по размещению политики на собственном сайте определяется ч. 2 ст. 18.1 Федерального закона "О персональных данных".

Уничтожать персональные данные правильно

Требования к уничтожению регламентирует приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", который вступил в силу с 01 марта 2023 г. и действует до 01 марта 2029 г.

Своевременно уведомлять об утечках

В ст. 21 ФЗ "О персональных данных" указано, что в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом, оператор обязан уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте и в течение 72 часов о результатах внутреннего расследования. В ч. 12 ст. 19 ФЗ "О персональных данных" указано, что оператор обязан обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, через НКЦКИ.

Уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу

Согласно ст. 12 ФЗ "О персональных данных" оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую передачу. До подачи уведомления оператор обязан получить от иностранных лиц, которым передаются данные, определенный набор сведений, к которым относятся, например, сведения о мерах защиты и информация о правовом регулировании в области персональных данных иностранного государства.

Проверить формы согласий на обработку персональных данных и договоров с субъектами, в том числе с несовершеннолетними

Оператору необходимо периодически проверять соответствие требованиям законодательства форм согласий и договоров как бумажных, так и электронных. Очень важно следовать принципу предоставления персональных данных субъектом свободно, своей волей и в своем интересе.

Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Для обработки персональных данных на сайте это означает наличие чек-бокса, чтобы пользователь самостоятельно отметил галочку согласия на обработку. Для бумажного согласия – место для собственноручной подписи и возможность выбрать часть условий обработки. Необходимо также привести в порядок персональные данные, разрешенные субъектом персональных данных для распространения (ст. 10.1 Федерального закона "О персональных данных").

Одним из важных видов договоров является договор поручения обработки. В поручении оператора должны быть определены перечень персональных данных, перечень действий с персональными данными, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и другие требования (ч. 3 ст. 6 Федерального закона "О персональных данных").

Подготовить шаблоны документов для взаимодействия с субъектами персональных данных

Оператору необходимо иметь шаблоны ответов субъекту с нужными сведениями (ст. 14, ст. 20 Федерального закона "О персональных данных"). Если в соответствии с требованиями законодательства предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные или дать согласие на их обработку. (ч. 2 ст. 18 Федерального закона "О персональных данных").

Согласовать нормативные правовые акты с Роскомнадзором

Банку России, госорганам и органам местного самоуправления необходимо согласовывать нормативные правовые акты, если эти документы регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ч. 3.1 ст. 4 ФЗ "О персональных данных").

Частные вопросы

В сфере ЖКХ необходимо привести локальную документацию в соответствии с новым ГОСТом

С 01.03.2024 вступает в силу ГОСТ Р 56038–2023 "Национальный стандарт Российской Федерации. Услуги жилищно-коммунального хозяйства и управления многоквартирными домами. Услуги управления многоквартирными домами. Общие требования". Обратите внимание на ч. 6. "Сбор, уточнение и хранение информации о собственниках и нанимателях помещений в многоквартирном доме".

При работе с биометрическими персональными данными необходимо подключиться к Единой биометрической системе или прекратить использовать биометрию для идентификации и аутентификации

С 01.06.2023 обработка биометрических персональных данных с целью идентификации и аутентификации вне ЕБС запрещена, но до 01.02.2024 в ЕБС размещаются и обрабатываются биометрические персональные данные пока только двух видов: изображение лица и запись голоса человека.

С 01.01.2024 согласно постановлению Правительства РФ от 01 сентября 2023 г. № 1430 вступят в силу изменения, касающиеся биометрии и ЕСИА, в личном кабинете на портале "Госуслуги" будут отображаться все согласия на обработку биометрических данных пользователя.

Аккуратно использовать искусственный интеллект при обработке персональных данных

Искусственный интеллект может представлять угрозу и создавать утечки персональных данных. В 2023 г. приняты отдельные стандарты по искусственному интеллекту, и постепенно будет формироваться законодательная база.

Дать точный прогноз на следующий год достаточно сложно: трендов много и будут появляться новые. Но можно сказать однозначно, что требования законодательства в отношении обработки персональных данных будут ужесточаться.

1. https://iz.ru/1536931/dmitrii-bulgakov/drugim-imenem-v-rossii-sozdadut-tcentr-obezlichivaniia-dannykh-dlia-podgotovki-ii 
2. https://t.me/mintsifry/1990 
3. https://www.forbes.ru/tekhnologii/499321-rkn-hocet-sozdat-institut-specoperatorov-dla-obrabotki-personal-nyh-dannyh