Автор: Ксения Шудрова, эксперт по информационной безопасности
В Государственной Думе находятся на рассмотрении четыре законопроекта. Два из них (502113–8 и 502104–8) касаются ужесточения наказаний за незаконную обработку персональных данных, в том числе за утечки, в части уголовной и административной ответственности. Ранее говорилось об оборотных штрафах, но, судя по тексту проектов, наказание не будет зависеть от масштаба организации. Максимальный размер штрафа – 500 млн руб., также возможно лишение свободы сроком до пяти лет.
Третий законопроект (353266–8) принят в третьем чтении и предусматривает появление новой статьи в КоАП, касающейся нарушений требований в области размещения биометрических персональных данных. Штрафы за нарушения в этой сфере составят до 1 млн руб.
Четвертый законопроект (992331–7) касается обезличивания ПДн. Президент дал поручение принять изменения в ФЗ "О персональных данных" до 15 декабря этого года. Нас ждет новая статья 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним". В Минцифры планируется создание центра обезличивания ПДн [1].
Появились также новые требования к обезличиванию в области медицины – приказ Министерства здравоохранения Российской Федерации от 24.11.2023 № 630н "Об утверждении требований к обезличиванию информации ограниченного доступа". Так что можно прогнозировать формирование тренда на будущий год.
Не только штрафами страшны утечки – Правительство России поддержало инициативу Минцифры о компенсации вреда пострадавшим. Если поправки вступят в силу, оператор обязан будет уведомлять субъекта персональных данных об утечке, а у субъекта появится право на выплату через Госуслуги [2].
Из неподтвержденных официально трендов можно выделить информацию о появлении спецоператора, в роли которого может выступить Роскомнадзор, а также о появлении "лицензий" на обработку [3]. Идея лицензирования деятельности по обработке персональных данных давно витает в воздухе, так что вполне вероятно появление инициатив в этом направлении.
08 августа 2023 г. вышли рекомендации Роскомнадзора операторам персональных данных. Рекомендации носят общий характер: минимизация перечня ПДн, раздельное хранение, отказ от избыточности, своевременное уничтожение, уведомление регулятора об утечках, применение мер защиты, в том числе технических и физических, а также обязательное назначение ответственного лица. Немаловажно периодически сверяться с ними в части стратегии защиты персональных данных в организации.
07 ноября 2023 г. в Минюсте России был зарегистрирован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 августа 2023 г. № 720 "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187". Приказом внесен новый индикатор риска, касающийся установления трех и более фактов несоответствия информации, указанной оператором в уведомлении об обработке персональных данных, сведениям, указанным в политике в отношении обработки персональных данных, и размещенным на сайте организации. Обязанность по размещению политики на собственном сайте определяется ч. 2 ст. 18.1 Федерального закона "О персональных данных".
Требования к уничтожению регламентирует приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", который вступил в силу с 01 марта 2023 г. и действует до 01 марта 2029 г.
В ст. 21 ФЗ "О персональных данных" указано, что в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом, оператор обязан уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте и в течение 72 часов о результатах внутреннего расследования. В ч. 12 ст. 19 ФЗ "О персональных данных" указано, что оператор обязан обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, через НКЦКИ.
Согласно ст. 12 ФЗ "О персональных данных" оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую передачу. До подачи уведомления оператор обязан получить от иностранных лиц, которым передаются данные, определенный набор сведений, к которым относятся, например, сведения о мерах защиты и информация о правовом регулировании в области персональных данных иностранного государства.
Оператору необходимо периодически проверять соответствие требованиям законодательства форм согласий и договоров как бумажных, так и электронных. Очень важно следовать принципу предоставления персональных данных субъектом свободно, своей волей и в своем интересе.
Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Для обработки персональных данных на сайте это означает наличие чек-бокса, чтобы пользователь самостоятельно отметил галочку согласия на обработку. Для бумажного согласия – место для собственноручной подписи и возможность выбрать часть условий обработки. Необходимо также привести в порядок персональные данные, разрешенные субъектом персональных данных для распространения (ст. 10.1 Федерального закона "О персональных данных").
Одним из важных видов договоров является договор поручения обработки. В поручении оператора должны быть определены перечень персональных данных, перечень действий с персональными данными, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и другие требования (ч. 3 ст. 6 Федерального закона "О персональных данных").
Оператору необходимо иметь шаблоны ответов субъекту с нужными сведениями (ст. 14, ст. 20 Федерального закона "О персональных данных"). Если в соответствии с требованиями законодательства предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные или дать согласие на их обработку. (ч. 2 ст. 18 Федерального закона "О персональных данных").
Банку России, госорганам и органам местного самоуправления необходимо согласовывать нормативные правовые акты, если эти документы регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ч. 3.1 ст. 4 ФЗ "О персональных данных").
С 01.03.2024 вступает в силу ГОСТ Р 56038–2023 "Национальный стандарт Российской Федерации. Услуги жилищно-коммунального хозяйства и управления многоквартирными домами. Услуги управления многоквартирными домами. Общие требования". Обратите внимание на ч. 6. "Сбор, уточнение и хранение информации о собственниках и нанимателях помещений в многоквартирном доме".
При работе с биометрическими персональными данными необходимо подключиться к Единой биометрической системе или прекратить использовать биометрию для идентификации и аутентификации
С 01.06.2023 обработка биометрических персональных данных с целью идентификации и аутентификации вне ЕБС запрещена, но до 01.02.2024 в ЕБС размещаются и обрабатываются биометрические персональные данные пока только двух видов: изображение лица и запись голоса человека.
С 01.01.2024 согласно постановлению Правительства РФ от 01 сентября 2023 г. № 1430 вступят в силу изменения, касающиеся биометрии и ЕСИА, в личном кабинете на портале "Госуслуги" будут отображаться все согласия на обработку биометрических данных пользователя.
Искусственный интеллект может представлять угрозу и создавать утечки персональных данных. В 2023 г. приняты отдельные стандарты по искусственному интеллекту, и постепенно будет формироваться законодательная база.
Дать точный прогноз на следующий год достаточно сложно: трендов много и будут появляться новые. Но можно сказать однозначно, что требования законодательства в отношении обработки персональных данных будут ужесточаться.