В ответе за данные  

Роскомнадзор рассказал о новых требованиях к операторам ПД

За последний год тема персональных данных (ПД) стала одной из самых обсуждаемых в СМИ: число случаев компрометации сведений, включая чувствительные, резко выросло, а масштабные изменения в законодательстве породили у операторов ПД множество вопросов. В первый день весны 2023 года состоялось, пожалуй, самое ожидаемое событие в отечественной сфере защиты персданных. Представители РКН, Минцифры РФ и Центра правовой помощи гражданам в цифровой среде обсудили нововведения в области ПД.

НЕ ТОВАР

Персональные данные людей, личная информация об их пристрастиях, вкусах или болезнях все чаще становятся товаром, причем часто полученным нелегальным путем. На этом фоне операторы ПД собирают и обрабатывают избыточный объем сведений, из которых формируются большие массивы данных. Поэтому утечки становятся все более чувствительными, отметила в своем выступлении на вебинаре Роскомнадзора член президиума Общероссийской общественной организации малого и среднего предпринимательства «ОПОРА России», председатель Консультативного совета при Роскомнадзоре Ирина Алехина.

По ее мнению, из-за этой тенденции

законодатели в будущем будут ужесточать регулирование сферы защиты персональных данных

Проблема обработки избыточных данных и передачи их непоименованному, то есть неопределенному кругу лиц, в том числе в маркетинговых целях, требует решения, отметила на вебинаре директор Центра правовой помощи гражданам в цифровой среде ФГУП «ГРЧЦ» Людмила Куровская. По ее словам, более половины из обратившихся за помощью в Центр граждан (52%) жаловались на обработку личной информации без их ведома.

Центр правовой помощи создан в сентябре 2021 года по инициативе Роскомнадзора и оказывает безвозмездную помощь людям, пострадавшим от незаконных действий, связанных с использованием их данных. С момента создания в Центр обратились более 2,5 тыс. человек.

Людмила Куровская, Центр правовой помощи:

– Хочется надеяться, что благодаря обмену лучшими практиками удастся обеспечить соблюдение требований законодательства по умолчанию. Это поможет избежать многочисленных обращений в Роскомнадзор и иные органы, в том числе в суды.

Тем более что в практике Центра зафиксировано много случаев, когда компании добровольно идут навстречу субъектам ПД, отметила она.

ЗАКОНЫ, ПРОВЕРКИ И ИСКИ

Соблюдение принципов обработки персданных – это то, с чего нужно начинать любому оператору, подчеркнул в своем выступлении заместитель главы Роскомнадзора Милош Вагнер.

По его словам, прошедшая в 2022 году реформа законодательства РФ о защите ПД:

• закрепила принцип экстерриториальности, который закон предъявляет к обработке данных россиян;
• сбалансировала отношения человека и оператора ПД;
• изменила правила трансграничной передачи персданных.

«Теперь оператор при передаче ПД за границу должен убедиться, что они будут защищены, а граждане РФ не будут поражены в правах», – подчеркнул он.

Для исполнения обновленного закона «О персональных данных» Роскомнадзор во второй половине 2022 года выпустил пять приказов. Документ №187 от 14 ноября 2022 года, определяющий, какую информацию нужно направить в РКН, если стало известно о компрометации персданных, оказался очень востребованным, посетовал Милош Вагнер. С сентября прошлого года в ведомство поступило более 150 таких уведомлений.

Новый порядок трансграничной передачи (ТГП) персональных данных, вступивший в силу с 1 марта этого года, предполагает, что Роскомнадзор может принимать решение о запрете или ограничении ТГП самостоятельно и по предоставлению ряда органов.

При этом по представлению будут приниматься только экстраординарные решения, направленные на защиту экономических интересов и безопасности России, пояснил Милош Вагнер. Он напомнил, что

в 2023 году для Роскомнадзора отменен ряд ограничений по проверкам бизнеса в случае обнаружения в Сети незаконных баз персональных данных

Милош Вагнер, Роскомнадзор:

– В 2022 году надзор за обработкой ПД операторами из-за моратория на проверки бизнеса осуществлялся в очень ограниченном объеме. Со второго квартала плановые проверки не проводились. Тем не менее состоялась 91 внеплановая проверка, 78 из них проводились по поручению заместителя правительства РФ по фактам утечек чувствительной информации.

В прошлом году было составлено 182 протокола об административных правонарушениях в области защиты ПД, суды взыскали штрафы на 50 млн рублей. Кроме того, Роскомнадзор подал более 110 исковых заявлений в суды в отношении сайтов, работающих с полным неисполнением законодательства РФ. «Все наши иски были удовлетворены судами, в реестр попали сервисы “пробива” информации о людях и сайты со сведениями о частной жизни», – рассказал Милош Вагнер.

На основании исковых заявлений Роскомнадзора в Сети было заблокировано 344 подобных ресурса.

ШТРАФЫ, ВОПРОСЫ-ОТВЕТЫ

В вопросе определения размера штрафов за утечки ПД Минцифры стремится найти взвешенное решение, которое, с одной стороны, обеспечит безопасность наших граждан, а с другой – будет побуждать операторов ПД соблюдать требования по обработке персданных, заявила заместитель директора Департамента обеспечения кибербезопасности министерства Айсалу Бадягина. Она подчеркнула, что

текущие размеры штрафов несоразмерны потенциальному вреду субъектам ПД

По ее словам, в настоящее время Минцифры в рамках исполнения поручений президента РФ прорабатывает изменения в Кодекс об административных правонарушениях (КоАП) о штрафах за утечки баз данных, содержащих ПД.

«Важный пункт – это установление фиксированного денежного наказания за первичную утечку и оборотного за повторное нарушение. Также прорабатывается вопрос о введении верхней и нижней границ для оборотных штрафов», – рассказала Айсалу Бадягина. Предполагаемые размеры штрафов за утечки персданных сейчас обсуждаются, но пока Минцифры не готово их раскрыть, добавила она.

Начальник Управления Роскомнадзора по защите прав субъектов персональных данных Юрий Контемиров ответил на вопросы, касающиеся уведомлений об обработке, уничтожении, а также распространения, локализации ПД, их трансграничной передачи, обезличивания.

По его словам, сведения о здоровье человека в листке нетрудоспособности, медкнижке или военном билете относятся к персданным из специальной категории. Их обработка должна проходить в соответствии со статьей 10 152-ФЗ.

Позиция ведомства по отнесению к биометрическим персональным данным (ПД) не изменилась – основным критерием остается наличие соответствующих положений в российском законодательстве, подчеркнул Юрий Контемиров.

«Фотографические изображения, размещенные на бейджах, на пропусках, на досках почета и на официальных сайтах, могут считаться биометрическими ПД только в случае, когда в законодательстве есть положения, которые относят эти изображения к биометрическим ПД, или формат этих изображений соответствует формату, заложенному в ГОСТ “Идентификация биометрическая”», – сказал он.

В остальных случаях эти фото могут обрабатываться на общих основаниях как обыкновенные персданные.

При этом потоковая видеозапись, не предусматривающая идентификацию/аутентификацию, не является биометрическими ПД и подчиняется общим правилам обработки персданных. Но если видеозапись предполагает идентификацию/аутентификацию, установление личности человека – в этом случае она относится к сфере обработки биометрических ПД, пояснил представитель ведомства.

Тимур Халудоров