Минимализм в персданных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Персональные данные (ПД) сейчас становятся не бизнес-преимуществом, а бременем – токсичным активом, который в любой момент может быть скомпрометирован и принесет массу неприятностей, считают эксперты. Почему компаниям нужно минимизировать объем собираемых данных, каковы перспективы введения штрафов за утечки и как создать эффективную систему оценки рисков при защите ПД, обсудили участники форума «ITSEC 2023: Информационная и кибербезопасность России».

ОСТРАЯ ПРОБЛЕМА

Принятие в 2022 году федерального закона №266-ФЗ коренным образом изменило действующее законодательство «О персональных данных», отметил в своем выступлении на форуме начальник Управления Роскомнадзора по защите прав субъектов персональных данных Юрий Контемиров. В первую очередь был закреплен принцип экстерриториальности требований по отношению к обработке ПД, что позволило распространять обработку данных граждан РФ на деятельность иностранных компаний.

Значительно были сокращены сроки по предоставлению информации по запросу, обратил внимание Юрий Контемиров. Это прежде всего касается тех прав граждан, которые связаны с получением информации об обработке ПД, а также с возможностью требования об актуализации или удалении их личных сведений в случае, если гражданин посчитает, что эти данные являются недостоверными или их обработка не соответствует заявленным целям обработки, отметил представитель службы.

Самой острой проблемой сферы защиты ПД сейчас остаются утечки личной информации

Юрий Контемиров, Роскомнадзор:

– По состоянию на осень 2023 года у нас зафиксировано 117 инцидентов с персональными данными. Общий объем записей, попавших в Сеть, составил более 200 млн. В этой части мы, с одной стороны, проводим работу по ограничению доступа к ресурсам, где размещаются подобные базы данных. С другой – в отношении лиц, допустивших нарушения требований законодательства, которые повлекли за собой распространение этих данных, мы принимаем меры, в том числе административного воздействия.

В некоторых случаях утечек данных Роскомнадзор отмечает, что цели обработки данных, которые были установлены оператором, и объем скомпрометированных сведений не соответствовал заявленным принципам обработки ПД.

«Есть принцип целеполагания, который обязывает оператора осуществлять обработку ПД только в том объеме, который необходим для достижения цели обработки. Старайтесь минимизировать тот объем ПД, который вы собираете для оказания услуг и реализации правоотношений с субъектами персданных. Это поможет исключить риски», – призвал Юрий Контемиров.

СМЯГЧАЮЩИЕ ОБСТОЯТЕЛЬСТВА

Существующий размер административных штрафов за утечки ПД несоразмерен вреду от подобных инцидентов, отметила в своем выступлении заместитель директора Департамента обеспечения кибербезопасности Минцифры Айсалу Бадягина. Она подчеркнула, что

сейчас перед государством стоит глобальная задача обеспечить информационную безопасность каждого гражданина

Правительство уже подготовило отзыв на законопроект о штрафах за утечки ПД, сейчас идет доработка документа.

Управляющий партнер компании Lukash & Partners Денис Лукаш рассказал о судебной практике по утечкам персданных. Минимальный размер штрафа за утечку персональных данных составляет не 60 тыс., а 30 тыс. рублей, обратил внимание он.

Денис Лукаш, Lukash & Partners:

– Конкретно за утечку ПД штрафов не существует. Часть 1 статьи 13.11 КоАП – про нарушения законодательства. По мнению Роскомнадзора, если произошла утечка подобной информации, значит, вы сделали что-то не так. Потому что по закону вы должны применять достаточные меры для защиты ПД.

Чаще всего в качестве наказания за нарушение части 1 статьи 18.1 закона «О персональных данных» используется мера ответственности в части 1 статьи 13.11, где сумма и составляет 60 тыс. рублей, обратил внимание эксперт.

Также за утечки наказывают по части 2 статьи 13.11, которая связана с нарушением статьи 10.1 152-ФЗ – распространение ПД без согласия субъекта.

«По нашему анализу получается, что часть 2 статьи 13.11 КоАП больше применяют по отношению к утечке ПД работников», – заключил эксперт.

Он рассказал случай из практики: в одной компании в Сеть утекли две записи персданных сотрудников. Организация уведомила Роскомнадзор об инциденте, после проверки ведомство наказало организацию за распространение данных без согласия. Сумма штрафа составила 30 тыс. рублей. «При этом суд отметил, что уведомление Роскомнадзора об утечке стало смягчающим обстоятельством при назначении наказания», – отметил Денис Лукаш.

РИСК, НО СТРОГО ПО РАСЧЕТУ

Глава компании Privacy Advocates, соучредитель Российской ассоциации специалистов по защите данных (Russian Privacy Professionals Association, RPPA) Алексей Мунтян в своем выступлении подчеркнул, что

компания не может везде и всегда соответствовать базовым требованиям защиты ПД

Перед тем как перенастраивать обработку данных в компании, нужно проанализировать действующий механизм. Реформа контрольно-надзорной деятельности в том числе в области персональных данных, которая произошла в России в 2020–2021 годах, привела к смене парадигмы, обратил внимание эксперт.

Он напомнил, что с 1 июля 2021 года при осуществлении федерального государственного контроля за обработкой персданных применяется система контроля и управления рисками.

Алексей Мунтян, Privacy Advocates:

– Государство прямо заявило, что необходимо осуществлять оценку управления рисками. Мне кажется, что государство сейчас является вполне себе амбассадором правильных и более прогрессивных подходов с точки зрения обработки и защиты персданных.

При этом очень важен контроль рисков обработки персданных и разумные ожидания заинтересованных сторон, подчеркнул он. Заинтересованные лица, в отличие от классического менеджмента информационной безопасности, это не только лица, имеющие бизнес-интерес, или сторонние лица.

«Это субъекты персональных данных и их разумные ожидания. Не обязательно контактировать с ними напрямую, их интересы можно представить, поставив себя на их место – что они будут чувствовать и делать, если с их личной информацией что-то пойдет не так», – обратил внимание эксперт.

Он призвал компании не быть святее Папы Римского в попытках полностью соответствовать всем требованиям законодательства в сфере персданных – «все равно не получится». При рискориентированном подходе компания должна идентифицировать для себя наиболее опасные области и сконцентрироваться на них, подчеркнул Алексей Мунтян.

Тимур Халудоров