Закон о персональных данных №152-ФЗ
Закон о персональных данных, который вступил в силу 1 июля 2011, касается практически любой компании, а сами данные являются желанной добычей злоумышленников.
Текст закона о персональных данных №152-ФЗ.
К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.
Определения
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Зачем России этот закон
Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза. Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы "О защите личности в связи с автоматической обработкой персональных данных".
По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.
Как утверждали и меняли закон
Операторов заставят сообщать о кибератаках и «утечках» данных
Операторов персональных данных собираются обязать оперативно сообщать обо всех кибератаках и утечках персональных данных россиян в уполномоченные органы. Об этом стало известно 5 июля 2022 года. Соответствующий законопроект собираются рассмотреть на пленарных заседаниях Госдумы в весеннюю сессию.
Депутаты и сенаторы подготовили ряд изменений в закон «О персональных данных», согласно которым операторы должны будут информировать уполномоченные органы об утечках сведений и о планах передачи персональных данных за границу. В нормативном документе речь идет о паспортных данных, сведениях о недвижимости, номерах телефонов и адресах проживания. Также по вводимым правилам, информацию из Единого государственного реестра недвижимости можно будет передавать третьим лицам только с согласия собственника.Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке
Кроме того, законопроект запрещает операторам отказывать людям в предоставлении услуг, не желающим сообщать свои персональные данные, если раскрытие такой информации необязательно[2].
Минцифры России предложило обезличивать персональные данные только с согласия субъекта
3 марта 2021 года Минцифры России сообщило о том, что в ведомстве состоялось совещание, в ходе которого были обсуждены поправки к проекту федерального закона «О внесении изменений в ФЗ «О персональных данных», который был разработан министерством, рассмотрен и принят Государственной Думой в первом чтении 16 февраля 2021 года.
Согласно предложенным Минцифры России поправкам, обезличивание персональных данных может осуществляться только с согласия субъекта или в иных случаях, предусмотренных законодательством Российской Федерации в области персональных данных.
Поправки предусматривают, что бизнес сможет свободно обрабатывать обезличенные данные. При этом для обеспечения защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают данные. Например, оператор не сможет использовать иную информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту. Также будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом окажется деобезличивание данных, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.
«Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных – наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены», — прокомментировал временно исполняющий обязанности директора департамента информационной безопасности Минцифры России Дмитрий Реуцкий. |
В ближайшее время поправки в законопроект будут представлены в Правительство Российской Федерации.
Передачу персональных данных на зарубежные сервера планируется ограничить
Минкомсвязь России подготовила в мае 2017 года поправки в закон "О персональных данных", которые предполагают ограничение передачи персональных данных на зарубежные сервера российских компаний.
Как пишут "Известия", в настоящее время ограничения касаются передачи данных зарубежным юрлицам. Сервера российских компаний, находящиеся за рубежом, под это ограничение не подпадают.
Поправки, подготовленные министерством, предполагают применять формулировку "трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства".
Депутаты ужесточили наказание за нарушения в работе с персональными данными
Госдума приняла в начале 2017 года закон об увеличении штрафов за нарушение закона о сборе, обработке и хранении персональных данных.
За нарушения в работе с персональными данными для юрлиц предусмотрен штраф до 10 тыс. руб. Однако, по мнению авторов закона, действующая норма не учитывает тяжесть негативных последствий правонарушения, поэтому депутаты предложили ужесточить наказание.
Теперь за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо обработку данных, несовместимую с целями сбора таких данных, будут наказывать предупреждением или штрафом от 1 до 3 тыс. руб. для граждан, от 5 до 10 тыс. руб. для должностных лиц и от 30 до 50 тыс. руб. для юридических лиц.
Обработка персональных данных без согласия гражданина приведёт к наложению штрафа в размере от 3 до 5 тыс. руб. для граждан, от 10 до 20 тыс. руб. для должностных лиц и от 15 до 75 тыс. руб для юридических лиц. При невыполнении государственным или муниципальным оператором требований по обезличиванию данных должностные лица получат штраф от 3 до 6 тыс. руб.
Отказ оператора предоставить человеку информацию об обработке его персональных данных повлечёт предупреждение или штраф от 1 до 2 тыс. руб для граждан, от 4 до 6 тыс. руб. для должностных лиц, от 10 до 15 тыс. руб. для индивидуальных предпринимателей и от 20 до 40 тыс. руб. для юридических лиц.
В правительстве считают, что подобные поправки позволят эффективно защищать права и интересы граждан и позволят обеспечить неотвратимость наказания.
Изменения в законе с 1 сентября 2015 года
Основная статья: Регулирование персональных данных в РФ (изменения с 1 сентября 2015 года)
С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке.
2006-2010 годы
В июле 2006 года был принят федеральный закон №152-ФЗ "О персональных данных". Закон вступил в силу в январе 2007 года.
В декабре 2009 г., Госдума успела в трех чтениях принять перенос срока приведения ранее созданных ИСПДн в соответствие с требованиями ФЗ «О персональных данных» с 1 января 2010 г. на 1 января 2011 г.
Законопроект об очередной отсрочке был принят Госдумой в первом чтении 7 декабря 2010 г. Изначально в законопроекте предлагалось перенести сроки вступления в силу закона «О персональных данных» еще на год – до 1 января 2012 г.
Федеральным законом предусматривается, что информационные системы персональных данных (ИСПДн), созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 г. Таким образом, вступление в силу требований закона «О персональных данных» было отсрочено еще на полгода.
Федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`» был принят Госудумой 10 декабря и одобрен Советом Федерации 15 декабря 2010 г.
В декабре 2010 года президент России Дмитрий Медведев подписал федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`».
Кого касаются требования
Требования к обеспечению безопасности персональных данных касаются практически всех. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, биллинговые системы, call-центры и автоматизированные системы бюро пропусков. Даже если секретарь просто набирает у себя в компьютере список сотрудников с телефонами и днями рождений – эта информация должна быть защищена.
С другой стороны, уже, несомненно, назрела реальная необходимость обеспечивать адекватную защиту персональных данных. C каждым днем увеличивается как ценность информации, так и изощренность способов, которыми ее можно несанкционированно получить. И, если и не самыми ценными, то, по крайней мере, самыми популярными для злоумышленников являются персональные данные. По материалам исследования компании InfoWatch в 2009 году среди всех зарегистрированных утечек информации персональные данные составили 89,8%.
В итоге согласно Федеральному закону №242-ФЗ, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ.
Ответственность за невыполнение требований
Штрафы за утечку данных в России
Основная статья: Штрафы за утечку данных в России
2022
В Росcии ввели штрафы за принуждение к передаче персональных данных
В Росcии ввели штрафы за принуждение к передаче персональных данных. Об этом стало известно 29 мая 2022 года.
Закон защитит покупателей, не желающих делиться персональными данными при оплате товаров и услуг.
Документ с поправками опубликовали на официальном сайте правовой информации.
Административная ответственность грозит продавцам услуг в случае отказа заключать, исполнять, изменить или расторгнуть договор с потребителем при его отказе предоставить персональные данные.
Законом, который вступит в силу с 1 сентября 2022 года, устанавливается штраф для должностных лиц в размере от 5 до 10 тысяч рублей, а для юридических — в размере от 30 до 50 тысяч рублей[3].
Роскомнадзор предложил ужесточить наказание за незаконное использование персональных данных
Роскомнадзор предложил ужесточить наказание за незаконное использование персональных данных. Об этом стало известно 26 мая 2022 года.
Данный законопроект предусматривает ужесточение ответственности вплоть до уголовной для лиц, занимающихся продажей украденных персональных данных.
26 мая состоялось очередное заседание Общественного совета при Роскомнадзоре. Основными вопросы заседания касались законодательного регулирования деятельности блогеров с аудиторией более 100 тысяч подписчиков.
Во вступительном слове руководитель Роскомнадзора Андрей Липов кратко проинформировал членов Общественного совета о текущей работе ведомства. В частности, об информационных атаках на российских пользователей, начавшихся с первых же часов начала специальной военной операции.
Председатель Комиссии по защите детей от деструктивного и опасного контента в составе Общественного совета при Роскомнадзоре Андрей Цыганов высказал ряд предложений по продвижению ценностно-ориентированного контента в интернет-сообществах[4].
2019
Госдума одобрила во втором чтении проект о хранении личных данных
19 ноября 2019 года Государственная Дума приняла во втором чтении законопроект, существенно увеличивающий штраф за отказ хранить персональные данные россиян на серверах на территории РФ.
Ко второму чтению авторы инициативы снизили размеры минимальных штрафов за первичное нарушение.
Для должностных лиц сначала предлагали штраф в размере 200-500 тысяч рублей, а стало от 100 тысяч до 200 тысяч рублей. За повторное нарушение планировали назначить штраф от 500 тысяч до 1 млн рублей, а ко второму чтению стало от 500 тысяч до 800 тысяч рублей.
Для юрлиц предлагали штраф от 2 млн до 6 млн рублей, а теперь — от 1 млн до 6 млн рублей. Штраф за повторное нарушение, как и в первоначальной версии, предлагается от 6 млн до 18 млн рублей.
Глава Минкомсвязи Константин Носков назвал завышенными штрафы за отказ хранить персональные данные россиян в России. Он считает, что соответствующий проект закона требует доработки и дополнительного обсуждения.
Предусмотренные действующей редакцией Кодекса об административных правонарушениях санкции за совершение административных проступков в указанной сфере не отвечают принципам соразмерности, не обеспечивают необходимого профилактического эффекта, создают условия для совершения повторных и неоднократных нарушений, — говорится в пояснительной записке к законопроекту. Прежде нарушителей штрафовали на 3000 руб. по ст. 19.7 КоАП за непредоставление информации. |
По словам авторов законопроекта, неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционирования критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом. Это вынуждает к принятию стимулирующих соблюдение закона санкций за такие нарушения.[5]
В России в 6000 раз поднимут штрафы за отказ хранить данные
10 сентября 2019 года стало известно, что депутаты Государственной Думы в приняли в первом чтении законопроект, в десятки раз повышающий штрафы за отказ компаний хранить данные россиян в пределах границ России. Если раньше им грозили принудительные выплаты в размере 3 тыс. руб., то принятый документ предполагает многомиллионные взыскания.
На рассмотрение в Госдуму законопроект «О внесении изменений в Кодекс РФ об административных правонарушениях» был внесен 13 июня 2019 года депутатами Госдумы от партии «Единая Россия» Виктором Пинским и Даниилом Бессарабовым. Вместе с ними субъектами права законодательной инициативы числятся еще 18 депутатов. В пояснительной записке к законопроекту сказано, что при его разработке авторы ориентировались на опыт других стран, но не уточнили, каких именно. Дата рассмотрения закона во втором чтении на момент публикации материала назначена не была.
Принятый в первом чтении законопроект предусматривает увеличение штрафов для компаний, отказывающихся хранить данные российских пользователей в дата-центрах, расположенных на территории России, до 18 млн руб. В документе рассмотрено два вида наказания – за первое и последующие нарушения. За первое нарушение закона физлицам положен штраф в размере от 30 тыс. до 50 тыс. руб, а на должностных лиц – от 200 тыс. до 500 тыс. руб. юридических лиц накажут на сумму от 2 млн до 6 млн. руб. Повторное правонарушение авторы законопроекта предлагают наказывать штрафом в размере от 50 тыс. до 100 тыс. руб. (физлица), от 500 тыс. до 1 млн руб. (должностные лица) или от 6 млн до 18 млн руб. (юрлица).
«Это сопоставимо с расходами, связанными с выполнением установленных законом требований», – сказано в пояснительной записке к законопроекту. Актуальный штраф в размере 3 тыс. руб. авторы документа считают «незначительным для крупных интернет-организаций, явно несоразмерным характеру правонарушения и не способным побудить к соблюдению российского законодательства».
Закон о локализации персональных данных россиян в ЦОД в пределах границ России, поправки к которому и содержит законопроект, был подписан Президентом России Владимиром Путиным 31 декабря 2014 года. В силу документ вступил 1 сентября 2019 года.
В первую очередь закон направлен против крупных иностранных корпораций – некоторые из них за четыре года действия закона были оштрафованы на 3 тыс. руб. К их числу относятся Facebook и Twitter, которым Роскомнадзор в декабре 2018 года направлял требования о предоставлении сведений по локализации данных российских пользователей на территории России. В январе 2019 года он завел на них дело, а в апреле 2019 года обе компании получили штраф на указанную сумму. В обоих случаях постановление вынес Мировой суд Таганского района Москвы, хотя Twitter еще в апреле 2017 года заявлял о готовности перенести персональные данные россиян в Россию, отметили в CNews.
В ряде случаев компаниям могут грозить не только крупные штрафы, но и блокировки их веб-ресурсов в российском сегменте интернета. Так произошло с крупной социальной сетью LinkedIn – постановление о блокировке выдал тот же Таганский суд Москвы, а соответствующий иск за несоблюдение требований по локализации персональных данных российских граждан подал Роскомнадзор.
В то же время компании Apple штрафы не грозят: «Эппл рус», дочерняя компания американской Apple, включена в реестр операторов персональных данных Роскомнадзора, о чем свидетельствуют сведения на сайте ведомства. Как сообщили в CNews, ООО «Эппл рус» внесено в реестр 29 декабря 2018 года, а заявка на включение была подана четырьмя днями ранее – 25 декабря 2018 года. Ответственность за обработку персональных данных россиян возложена на сотрудника «дочки» Apple Александра Котилевского.
Принятый в первом чтении законопроект также предлагает увеличить штрафы для поисковиков за повторное нарушение действующих ограничений в их работе, к которым относится, в том числе, и перенаправление пользователей на запрещенные сайты. Для граждан штраф составит от 30 до 100 тыс. руб., для должностных лиц – от 100 до 500 тыс. руб., для юридических лиц – от 1,5 до 5 млн руб.[6]
В Госдуму внесен законопроект о штрафах за нарушения хранения ПДн
В четверг 13 июня 2019 года в Государственную Думу внесен законопроект, по которому предусматриваются штрафы за нарушения хранения персональных данных (ПДн) граждан РФ до 18 миллионов рублей. В соответствии с законопроектом, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предлагается дополнить и установить штрафы в размере:
- от 30 до 50 тысяч рублей для физических лиц;
- от 200 до 500 тысяч рублей для должностных лиц;
- от 2 до 6 миллионов для юридических лиц.
Административные взыскания предусмотрены за невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. При повторном правонарушение штрафы возрастают:
- от 50 до 100 тысяч рублей для физических лиц;
- от 500 тысяч рублей до 1 миллиона рублей для должностных лиц;
- от 6 до 18 миллионов рублей для юридических лиц.
Идея данного законопроекта возникла после претензий Роскомнадзора к социальным сетям Twitter и Facebook. Компании отказались от предоставления сведений о месте нахождения баз данных российских пользователей, за что их смогли оштрафовать лишь по статье 19.7 КоАП РФ (непредставление или несвоевременное представление сведений, представление которых предусмотрено законом) в размере 3 тысяч рублей. Так как отдельной статьи за нарушение такого рода требований не предусмотрено, единственное наказание, которое можно было применить — штраф по 19.7 статье КоАП РФ.
2017: Инспекторы могут наложить штраф и потребовать прекратить обработку ПДн
Инспекторы могут наложить штраф, принять решение о конфискации несертифицированых средств защиты или вынести требование о прекращении обработки персональных данных, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку персональных данных с нарушением закона, несёт риски, связанные с возможными гражданскими исками от субъектов персональных данных, особенно в случаях утечки таких данных.
Президент России Владимир Путин подписал закон о внесении изменений в Кодекс РФ об административных правонарушениях, который регулирует защиту персональных данных. Согласно закону, статья кодекса под номером 13.11 получила новую редакцию и новое название – «Нарушение законодательства РФ в области персональных данных». Изменения вступят в силу с 1 июля 2017 г.
Прежнее название статьи 13.11 звучит как «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». За соответствующие нарушения существует наказание в виде предупреждения или административного штрафа. Для обычных граждан сумма штрафа составляет от p300 до p500, для должностных лиц – от p500 до p1 тыс. Юридические лица платят от p5 тыс. до p10 тыс.
С 1 июля 2017 г., если обработка персональных данных выходит за рамки случаев, предусмотренных законодательством, или является несовместимой с целями сбора данных, то за нее следует наказание в виде предупреждения или штрафа. Для обычных граждан штраф составит от p1 тыс. до p3 тыс., для должностных лиц – от p5 тыс. до p10 тыс., для юридических лиц – от p30 тыс. до p50 тыс. Все это – только в том случае, если такая обработка данных не содержит уголовно наказуемой составляющей.
В ряде случаев законодательство требует получить письменное согласие субъекта на обработку персональных данных. Если это согласие не получено, а данные тем не менее обрабатываются, нарушитель выплачивает штраф. Для граждан сумма штрафа составит от p3 тыс. до p5 тыс., для должностных лиц – от p10 тыс. до p20 тыс., для юридических лиц – от p15 тыс. до p75 тыс. Это же наказание применяется, если изменен состав сведений, на обработку которых дал согласие субъект.
Если оператор не обеспечил доступ к документу, где изложена его политика в отношении обработки персональных данных, то этот оператор получает предупреждение или платит штраф. Для обычных граждан сумма штрафа составит от p700 до p1,5 тыс. Должностные лица будут платить от p3 тыс. до p6 тыс. Индивидуальные предприниматели будут штрафоваться на сумму от p5 тыс. до p10 тыс., юридические лица – от p15 тыс. до p30 тыс.
Срок, в течение которого нарушителя следует привлечь к ответственности по статье 13.11, по-прежнему составляет 3 месяца, но теперь в него легче будет уложиться, поскольку процедура значительно сократилась. Дело в том, что раньше протоколы о нарушении этой статьи составлялись прокуратурой, а с 1 июля 2017 г. этим займутся чиновники Роскомнадзора и его региональных подразделений.
То есть, сейчас Роскомнадзор, выявив нарушение, обращается за протоколом в прокуратуру, и уже она направляет этот протокол в суд. Согласно новому закону, прокуратура выпадает из процесса. Это должно ускорить ход подобных дел. Если сейчас штрафы часто не взимаются из-за истечения срока давности, то с 1 июля 3 месяцев должно быть вполне достаточно[7].
Что мешает соблюдать закон?
Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.
Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации, можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.
Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят — все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.
Защита персональных данных
Основная статья: Защита персональных данных в России
Хронология событий
2023: 75% компаний не выполняют требования закона о персональных данных
1 марта 2023 года компания К2 Интеграция сообщила о проведении опроса среди предприятий на тему реализации требований федерального закона «О персональных данных». Оказалось, что 75% компаний еще не выполнили положения закона, начавшие действовать в сентябре 2022 года. А к соблюдению второй части поправок, вступающей в силу 1 марта 2023 года, полностью не готов практически никто. В опросе приняли участие более 100 представителей бизнеса из разных отраслей экономики. Подробнее здесь.
2022
Минцифры РФ разработало правила трансграничной передачи персональных данных
В середине сентября 2022 года Министерство цифрового развития, связи и массовых коммуникаций РФ представила разработанные ведомством правила трансграничной передачи персональных данных в соответствии с поправками к закону «О персональных данных».
Одним из проектов Минцифры определяются условия и случаи, при которых запрещается или ограничивается трансграничная передача данных. Другим проектом постановления правительства устанавливаются случаи, при которых к операторам, осуществляющим передачу персональных данных за рубеж, не применяются требования по уведомлению об этом уполномоченного органа, а также по запрещению или ограничению такой передачи.
К таким случаям, в частности, относятся обеспечение транспортной безопасности, ремиссии, безопасности и противодействия преступности, обороны и иных целей, определяемых проектом постановления, - говорится в тексте документа (цитата по ТАСС). |
Еще один документ, разработанный Минцифры, регламентирует порядок принятия Роскомнадзором и его территориальными органами решений о запрещении или ограничении трансграничной передачи персональных данных «в целях защиты нравственности, здоровья, прав и законных интересов граждан». Он предполагает, что оператор может направить уведомление о планируемой передаче в виде бумажного или электронного документа, заверенного цифровой подписью. При этом, как сообщили «Интерфаксу» в Минцифры, речь не идет о передаче данных по каждому пользователю. Таким образом, реализация уведомления не повлечет дополнительных затрат операторов, заявили в министерстве.
Все три документа должны вступить в силу с 1 марта 2023 года.
Важно отметить, что размещаемыми актами мы не вводим дополнительных обязанностей для операторов, а лишь конкретизируем положения закона в части ограничения трансграничной передачи данных и предлагаем исключительные случаи, - добавили в Минцифры.[8] |
Половина российских компаний не способна защитить персональные данные клиентов
5 сентября 2022 года компания HFLabs сообщила о том, что несмотря на громкие утечки персональных данных, только 50% российских компаний планируют увеличить бюджет на их защиту. При этом больше половины респондентов не уверены в том, что личные сведения их клиентов находятся в безопасности.
HFLabs опросила представителей 172 российских компаний, чтобы понять, как бизнес реагирует на произошедшие громкие утечки и планирует ли менять подходы к работе с персональными данными. 53% опрошенных сказали, что в их компании «утечки вероятны», а еще 9% сообщили, что они уже происходили. И только 37% респондентов уверены, что в их организации утечки данных клиентов не произойдут. Подробнее здесь.
2021: Гайд от ARinteg: Как просто решить вопрос отчетности по №152 ФЗ «О защите персональных данных»
Что нужно, чтобы закрыть вопрос по требованиям ФЗ-152 «О защите персональных данных»? Заучивать обязанности «оператора» наизусть, ставить дедлайны по сдачи документации (которую нужно составлять) и помечать красным цветом в календаре 12-часовой рабочих день ускоренной подготовки перед проверкой «сверху». Или можно по-другому?
Основная статья: Гайд от ARinteg: Как просто решить вопрос отчетности по №152 ФЗ «О защите персональных данных»
2020
В России установлены правила хранения данных в интернете
В сентябре 2020 года премьер-министр Михаил Мишустин подписал постановление о правилах хранения данных в интернете. Соответствующий документ опубликован на официальном портале правовой информации.
Постановлением правительства РФ установлены правила хранения организаторами распространения информации в Интернете (ОРИ) информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений интернет-пользователей и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности РФ
В число ОРИ входят не только мессенджеры, почтовые службы и соцсети, но и, например, сайты, на которых можно оставлять комментарии.
Документ, который вступит в силу 1 января 2021 года, определяет состав информации, подлежащей хранению. Кроме того, он определяет виды запросов спецслужб для получения информации и порядок их направления и описывает формы передачи данных и порядок взаимодействия сторон и пр.
Согласно статье 10.1, организатором распространения информации в Интернете является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приёма, передачи, доставки и (или) обработки электронных сообщений интернет-пользователей.
Правила определяют понятия «авторизация», «идентификация пользователя в коммуникационном интернет-сервисе», «коммуникационный интернет-сервис», «регистрация» и «точное время». В интернете можно хранить такую информацию, как
- идентификатор пользователя в коммуникационном интернет-сервисе;
- сведения о регистрационных данных;
- сведения о фактах авторизации:
- номера телефонов и электронной почты;
- данные об оказанных платных услугах и др.[9]
ФССП решила принудительно взыскать с Facebook и Twitter штрафы за отказ локализовать данные
Судебные приставы завели дела о принудительном взыскании с Facebook и Twitter назначенных судом штрафов в размере 4 млн рублей за отказ локализовать данные российских пользователей соцсетей на территории РФ.
Соответствующая информация появилась в Банке данных исполнительных производств Федеральной службы судебных приставов (ФССП).
Согласно документам, процедуру будут проводить сотрудники Управления по исполнению особо важных исполнительных производств ФССП.
В середине марта вступили в силу решения судов об административных штрафах в 4 млн рублей в отношении Facebook и Twitter за отказ локализовать данные российских пользователей соцсетей на территории РФ. 60 дней, предусмотренные законом на оплату штрафов, истекли. Facebook не исполнил решение суда. Заплатил ли штраф Twitter, не известно. Обе компании пока не ответили на соответствующие запросы "Интерфакса".
Весной 2019 года Facebook и Twitter уже были оштрафованы судом за непредоставление информации (ст.19.7 КоАП РФ) об исполнении требования законодательства по локализации персональных данных российских пользователей на территории РФ. Тогда мировой участок Таганского района штрафовал компании на 3 тыс. рублей.
В декабре 2019 года были приняты поправки в КоАП, которые усилили ответственность за нарушение требований по хранению персональных данных. Теперь за подобные нарушения первичный штраф для юридических лиц составляет от 1 до 6 млн рублей, за повторный — от 6 до 18 миллионов.
Суд оштрафовал Twitter на 4 млн рублей за отказ переносить серверы в Россию
13 февраля 2020 года мировой суд в Москве наложил на Twitter штраф за отказ социальной сети переносить в РФ серверы с данными российских пользователей.
Признать иностранное юридическое лицо Twitter Inc. (зарегистрировано в Калифорнии, США) виновным в совершении административного преступления и назначить штраф в размере 4 млн рублей, — огласила решение судья Александра Михалева (цитата по «РИА Новости»). |
В России создан маркетплейс для продажи данных россиян компаниям
В конце января 2020 года стало известно о запуске платформы «IDX: Датамания», разработанной компанией IDX и позволяющей россиянам заработать на продаже своих данных. В этот проект 50 млн рублей вложили Фонд развития интернет-инициатив (ФРИИ) и израильский инвестиционный фонд Нuman Digital Capital. Общий объём инвестиций в «Датаманию» за три года составят 250 млн рублей.
2019
В России будет создана "Белая книга" с примерами ответственного обращения с данными
Аналитический центр при Правительстве РФ подписал в декабре 2019 года Кодекс этики использования данных. Документ был подготовлен при участии Ассоциации больших данных и Института развития интернета.
Согласно замыслу инициаторов разработки Кодекса, положения документа станут основой для саморегулирования участников рынка данных при их взаимодействии с гражданами, юридическими лицами, государством и между собой. Документ распространяется на работу со всеми разновидностями данных: от пользовательских до промышленных.
Основная статья: Кодекс этики использования данных
Роспотребнадзор будет защищать кожу, волосы и кровь как персональные данные
В конце ноября 2019 года стало известно о том, что Роспотребнадзор отнёс кожу, волосы и кровь к персональным данным для защиты законом. Такие биоматериалы можно будет использовать только с письменного согласия человека.
Как рассказала «Российской газете» глава Роспотребнадзора Анна Попова, в законе «О персональных данных» есть пробел, позволяющий собирать генетическую информацию (например, о состоянии здоровья, образе жизни и питании, а также поведенческих особенностях) и использовать её в преступных целях. Поэтому любую генетическую информацию о россиянах нужно оградить от попадания в третьи руки.
Становится возможным использование личной информации об условиях жизни и о поведенческих особенностях, о здоровье и о семейной тайне — установлении отцовства, поле ребенка и так далее без учёта мнения владельца персональных данных, — отметила Попова. |
К концу ноября 2019 года закон определяет только общий запрет на обработку некоторых категорий персональных данных без согласия. Про биоматериалы там не говорится, поэтому их можно собирать бесконтрольно, заявили в ведомстве.
К биоматериалам относятся любые ткани и жидкости человека (волосы, кожа, ногти и пр.), которые содержат ДНК.
Роспотребнадзор разработал законопроект, подразумевающий, что биологические материалы будут относиться к персональным данным, поэтому на них будет распространяться соответствующее законодательство. Например, предполагается, что россияне должны будут давать письменное разрешение на использование своих биоданных.
Эти изменения, как говорит глава Роспотребнадзора, соответствуют требованиям международного законодательства и подходам к нормативному регулированию в области обращения биологического материала и содержащейся в нем информации, используемым в международной практике.[10]
Операторов в России обязали незамедлительно блокировать сайты, нарушающих закон о персональных данных
18 ноября 2019 года на официальном интернет-портале правовой информации было опубликовано постановление правительства, согласно которому телекоммуникационные компании должны будут незамедлительно блокировать доступ к сайтам, на которых персональные данные обрабатываются с нарушением российского законодательства.
После получения информации, обрабатываемой с нарушением законодательства, оператор связи незамедлительно обязан ограничить доступ к информационному ресурсу, в том числе к сайту в сети интернет, на котором осуществляется обработка информации с нарушением законодательства РФ в области персональных данных, — сообщается в документе. |
Постановление «О внесении изменения в правила создания, формирования и ведения автоматизированной информационной системы Реестр нарушителей прав субъектов персональных данных» подписано премьер-министром Дмитрием Медведевым 13 ноября 2019 года.
Реестр создан в целях ограничения доступа к информации в интернете, обрабатываемой с нарушением законодательства РФ в области персональных данных.[11]
За первые 9 месяцев 2019 года Роскомнадзор выявил более 2,4 тыс. нарушений со стороны операторов персональных данных. По итогам проверок было составлено 4 тыс. административных протоколов, наложено штрафов на сумму 2,6 млн рублей. Кроме того, был ограничен доступ к 1 тыс. 97 интернет-страницам, где осуществлялось незаконное распространение персональных данных.
7 ноября глава Роскомнадзора Александр Жаров заявил, что ведомство готовит законодательные предложения по введению ответственности не только за распространение похищенных персональных данных, но и за их покупку и дальнейшее использование. Жаров говорил, что на тот момент около 400 тыс. компаний, включая транснациональных гигантов, хранят свои данные на территории России.
Роспотребнадзор предложил приравнять генетические данные к персональным
Правительство РФ одобрило в июле 2019 года законопроект об особенностях обработки персональных данных человека, полученных из его генетического материала. Согласно документу, данные, характеризующие генетические особенности человека, должны приравниваться к персональным и защищаться соответствующим образом[12].
Автором законопроекта является Роспотребнадзор. Документ предлагает внести изменения в ст. 11 Федерального закона «О персональных данных» от 27 июля 2006 года в части обработки биометрических персональных данных.
В случае принятия законопроект закроет пробел в законодательстве в области защиты информации о человеке, полученной из его биоматериала, содержащего генетическую информацию. Подобная информация позволяет третьей стороне ознакомиться с дополнительными данными о человеке, например, о состоянии здоровья, образе жизни, чувствительности к лекарствам и аллергенам и т.д. В связи с этим авторы инициативы предложили приравнять подобную информацию к персональным данным, к которым должны применяться дополнительные меры защиты.
Целью законопроекта является обеспечение соблюдения конституционных прав граждан в сфере отношений, связанных с обработкой персональных данных, содержащих информацию о генетических особенностях человека.
Смотрите также:
- Генетические банки данных (биобанки, биорепозитории, хранящие биологические образцы)
- Генетическая инженерия (генная инженерия)
2017
Facebook и Twitter выполнят требования российского законодательства
Крупные американские компании Facebook и Twitter выполнят требования закона «О персональных данных». Facebook планирует создать российское представительство, а Twitter перенести на территорию РФ серверы с персональными данными россиян, сообщают в ноябре 2017 года «Известия» со ссылкой на свои источники.
По словам представителей Роскомнадзора, в адрес ведомства пришло письмо от компании Twitter, подтверждающее готовность социальной сети локализовать базы данных на территории РФ к середине 2018 года. Реализация договоренности находится на постоянном мониторинге службы, однако пока проведение контрольных мероприятий не планируется, отметили в ведомстве.
Как сообщают собеседники издания, Facebook также решила выполнить требования законодательства и готовится открыть в России свое представительство. Представители компании ищут в России офис и руководителя местного подразделения. По словам экспертов, данный шаг может быть обусловлен тем, что заработок Facebook на российском рынке стал достаточно значимым для компании. В 2016 году Facebook могла заработать в России от $70 млн до $100 млн, рост этого показателя в 2017 году может составить 25–30%. В то же время неизвестно, собирается ли Facebook последовать примеру Twitter и перенести серверы с персональными данными россиян на территорию РФ.
Анализ типовых нарушений в области персональных данных
По данным регулятора, наиболее распространенным нарушением в данной сфере является предоставление оператором уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. На втором месте – непринятие мер для выполнения обязанностей, предусмотренных законом "О персональных данных".
По результатам 65 % плановых проверок, проведенных в первом полугодии 2017 года, выявлены нарушения обязательных требований законодательства Российской Федерации в области персональных данных
Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 11 %
ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
- 1) наименование (фамилия, имя, отчество), адрес оператора;
- 2) цель обработки персональных данных;
- 3) категории персональных данных;
- 4) категории субъектов, персональные данные которых обрабатываются;
- 5) правовое основание обработки персональных данных;
- 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- 8) дата начала обработки персональных данных;
- 9) срок или условие прекращения обработки персональных данных;
- 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
- 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами – 9 %
ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации – 7 %
пп. а п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687
Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения:
- о цели обработки персональных данных, осуществляемой без использования средств автоматизации,
- имя (наименование) и адрес оператора,
- фамилию, имя, отчество и адрес субъекта персональных данных,
- источник получения персональных данных,
- сроки обработки персональных данных,
- перечень действий с персональными данными, которые будут совершаться в процессе их обработки,
- общее описание используемых оператором способов обработки персональных данных.
Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об
изменении информации, содержащейся в уведомлении об обработке персональных данных – 7 %
Согласно ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Несоблюдение оператором требований по информированию лиц, осуществляющих обработку
персональных данных без использования средств автоматизации – 6 %
п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687
Должны быть проинформированы:
- о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации,
- категориях обрабатываемых персональных данных,
- об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации – 6 %
ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Должно включать:
- 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- 4) цель обработки персональных данных;
- 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- 9) подпись субъекта персональных данных.
Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ – 6 %
п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687 .
Twitter переносит персональные данные пользователей в Россию
В апреле 2017 года стало известно, что соцсеть Twitter начнет хранить персональные данные россиян, имеющиеся в ее распоряжении, на территории России, как того требует закон «О персональных данных». Перенос информации на российские сервера планируется осуществить к середине 2018 г. Сейчас компания определяет, какие именно данные будут перемещаться. Об этом сообщил Роскомнадзор, получивший письмо с уведомлением от вице-президента Twitter по вопросам публичной политики в Европе, Азии и на Ближнем Востоке Шинейд МакСуини (Sinead McSweeney).
Суд посчитал передачу обезличенных данных нарушением закона
Роскомнадзор выявил нарушения в связи с передачей пользовательских данных. Как сообщил "Известиям" представитель регулятора Ампелонский Вадим, речь идет о многочисленных фактах заключения операторами договоров о передаче сторонним компаниям. Это обнаружилось после проверок, проведенных Роскомнадзором по поручению президента. О точном количестве нарушений и компаний-нарушителей не сообщается.
Известно, однако, что МГТС собирала данные о трафике пользователей, присваивая каждому из них индивидуальный номер, и передавала их партнерам. Несмотря на то, что данные были обезличены и включали поисковые запросы и адреса посещенных страниц, суд решил, что этого достаточно для идентификации конкретных пользователей. На основе этого пользователям показывается персонифицированная реклама.
"Рекламодатель персонифицировано направляет определенную рекламу в зависимости от предпочтений субъекта, просмотренных интернет-страниц, товаров, работ, услуг и т.п.", - цитирует издание выдержку из судебных материалов.
По данным издания, оператор был оштрафован на 30 тыс. рублей. В компании с решением не согласны, однако передача данных была прекращено.
"МГТС не передавала третьим лицам сведения об абонентах. Речь шла только об обезличенных данных. Такая информация постоянно накапливается в поисковых системах без согласия пользователей, и проконтролировать дальнейшую ее передачу невозможно. Запретить использовать такую обезличенную информация можно лишь законодательно", - сказала директор по правовому обеспечению МГТС Ивана Никитина.
Вадим Ампелонский также отметил, что вопрос использования подобной информации недостаточно урегулирован. В свою очередь, представители рынка считают, что проверки свидетельствуют о начале работы по ужесточению законодательства в данной сфере.
2016
В России заблокирован LinkedIn
В России заблокировали сеть профессиональных контактов LinkedIn. Суд закрыл доступ к сервису по иску Роскомнадзора: ведомству не понравилось, что компания всё еще хранит персональные данные российских пользователей на серверах, расположенных за пределами РФ. Регулятор направил предписание о блокировке LinkedIn провайдерам 17 ноября. Блокировка касается и сайта, и мобильного приложения социальной сети.
Подробнее читайте здесь.
Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных
Российское министерство связи и массовых коммуникаций выступило за ужесточение на законодательном уровне процедуры дачи согласия на обработку персональных данных.
Процедура дачи согласия на обработку персональных данных должна быть законодательно ужесточена. Такую позицию ведомства высказал замминистра связи РФ Алексей Соколов.
Чиновник подчеркнул, что «наши граждане зачастую дают подобного рода согласие без четкого понимания правовых последствий и возможного их в дальнейшем использования». Именно по этой причине министерство и выступило с подобной инициативой – в рамках закона усовершенствовать как саму процедуру, так и порядок дачи согласия на обработку личной информации. Более того, как отметил Соколов, на данный момент прорабатывается возможность создания государственного ресурса, на котором бы велся учет данных согласий гражданами на обработку персональной информации для того, чтобы контролировать их использование.
Минкомсвязи также предлагает на законодательном уровне разграничить и выработать подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Чиновник отмечает: «Одной из наиболее обсуждаемых проблем является, так называемые, большие данные. Действующее законодательство не содержит такого или близкого по смыслу понятия, но устанавливает, что обработка персональных данных допускается для достижения конкретных, заранее обозначенных целей, после чего они подлежат обезличиванию или уничтожению. Таким образом, в интернет-сервисах накапливается огромный массив обезличенных персональных данных, не позволяющих идентифицировать личность. Кроме того, стремительное развитие интернета вещей, различного вида счетчиков, датчиков, бытовой техники порождает значительный объем иного вида данных, которые также не могут быть отнесены к персональным данным. С учетом этого, необходимо на законодательном уровне проработать вопрос разграничения и выработать различные подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Наши предложения будут готовы в первой половине 2017 года»[13].
Полномочия по надзору за обработкой персональных данных россиян отдадут РКН
Премьер-министр России Дмитрий Медведев поручил летом 2016 года правительству внести на рассмотрение Госдумы подготовленный Минкомсвязью законопроект, который наделит Роскомнадзор необходимыми полномочиями для осуществления контроля и надзора за обработкой персональных данных. Такая информация содержится в материалах правительства.
Отмечается, что законопроект направлен на устранение правовой неопределенности в законодательстве. Так, в настоящий момент в России обязанность контролировать обработку персональных данных граждан в соответствии с законом не закреплена ни за одним органом. Эти полномочия и хотят закрепить за Роскомнадзором.
2012: Дмитрий Медведев утвердил изменения требований к защите персданных
Премьер-министр РФ Дмитрий Медведев 1 ноября 2012 года утвердил изменения требований к защите персональных данных при их обработке в информационных системах персональных данных. Соответствующий документ был опубликован на сайте правительства России.
Участники рынка утверждают, что меры хоть и позитивно скажутся на отрасли в целом, но их явно недостаточно и они до сих пор носят слишком консервативных характер.
Постановлением правительства устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.
Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Документ позволит операторам информационных систем, обрабатывающих персональные данные, определить требуемый уровень защищенности персональных данных, что в дальнейшем значительно упростит процедуру определения необходимых и достаточных мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
По словам ведущего инженера по ИБ департамента системной интеграции компании "Микротест" Сергея Борисова, новое постановление Правительства сократило количество обязательных требований до 14 против 34 в предыдущем документе. "Однако, на мой взгляд, новое постановление не облегчило жизнь компаниям", - сказал Сергей Борисов. - самое обременяющее требование - необходимость сертификации СЗИ - осталось обязательным для всех ИСПДн".
"Следующий пункт - классификация ИСПДн", - продолжил он. - Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту".
Еще одной проблемой нового постановления Сергей Борисов видит утрату юридической значимости большей части документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. "Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно", - подытожил Борисов.
Сергей Борисов видит в новом постановлении Правительства потенциальный рост расходов компаний на защиту персональных данных в связи с тем, что большая часть данных, которые раньше относились в малозначительным, сейчас переведены в другую категорию, требующую более высокую степень защиты.
Эксперты Российской ассоциации электронных коммуникаций уверены, что в настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.
РАЭК продолжает настаивать на создании межведомственной рабочей группы с участием представителей интернет-отрасли, экспертов по информационной безопасности, представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора для более четкого формулирования позиций отрасли по вопросам законодательства и его изменения. В частности, в приведении в соответствии с международным законодательством и стандартам существующих документов и постановлений.
2011
Жилищный кодекс и персональные данные
16 июня 2011 года вступил в силу Федеральный закон от 4 июня 2011 года № 123-ФЗ «О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», статья 5 которого внесла очередную новеллу в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Корректировке подверглась часть 2 статьи 6 ФЗ-152, дополненная новым пунктом следующего содержания:
«5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;…»
Вышеуказанный пункт дополнил ряд ситуаций, когда оператору персональных данных не требуется получать согласие субъекта на обработку персональных данных.
С одной стороны, эта поправка логично вписывается в новый правовой режим управления многоквартирными домами, который на уровне федерального законодательства закрепляет права и обязанности участников соответствующих общественных отношений и определяет специфику данных отношений. С точки зрения законодательства о персональных данных рассматриваемое изменение не вносит принципиальных изменений в существующий режим регулирования обработки и защиты персональных данных, но в определенной степени упрощает жизнь многочисленным организациям, осуществляющим управление многоквартирными домами, а также предоставление коммунальных услуг и осуществления расчетов с собственниками помещений.
С другой стороны, появление очередного исключения наводит на грустные мысли о целостности и применимости норм института согласия субъектов на обработку их персональных данных. В тексте поправки четко оговаривается условие отсутствия необходимости в получении согласия: обработка персональных данных происходит в связи с нормами Жилищного кодекса Российской Федерации либо в связи положениями соответствующего договора. Но вышеприведенное условие фактически дублирует содержание пунктов 1 и 2 части 2 статьи 6 ФЗ-152. Таким образом, законодатель спускается от уровня регулирования типовых ситуаций (например, обработка персональных данных в связи с исполнением положений договора) до уровня регулирования конкретных ситуаций (договорных отношений в сфере ЖКУ). Кроме того, происходит девальвация значения и ценности других норм института согласия субъектов на обработку их персональных данных (в частности, пунктов 1 и 2 части 2 статьи 6 ФЗ-152).
Проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5
Проектом федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5 предлагается привести в соответствие законодательство Российской Федерации c вступающими в силу 1 июля 2011 года нормами пункта 2 статьи 7 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В соответствии с указанной нормой, органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, не вправе требовать от заявителя предоставления документов и информации, которые находятся в распоряжении государственных органов, органов местного самоуправления.
Пунктом 2 статьи 1 вышеуказанного законопроекта уточняется порядок и условия обработки персональных данных заявителей и иных лиц в связи с предоставлением государственных или муниципальных услуг. В частности, предлагается закрепить в ст. 7 Федерального закона «Об организации предоставления государственных и муниципальных услуг» норму, согласно которой: «Для обработки государственными органами, органами местного самоуправления и организациями, участвующими в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, персональных данных, имеющихся в распоряжении таких органов и организаций, для предоставления таких персональных данных в орган (организацию) предоставляющий государственную или муниципальную услугу по запросу заявителя, не требуется получение согласия субъекта персональных данных, по запросу которого осуществляется обработка, в соответствии с требованиями пункта 1 части 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Запрос заявителя в орган (организацию) о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в целях предоставления органом (организацией) соответствующей государственной или муниципальной услуги. В случае, когда для предоставления государственной или муниципальной услуги необходимо предоставление документов и информации об иных лицах, не являющихся заявителем, то при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие его полномочия действовать от имени указанных лиц (их законных представителей), и выражающие согласие указанных лиц (их законных представителей) на обработку персональных данных таких лиц.»
Комментарий от компании ИнфоТехноПроект: Согласно ч. 1 ст. 6 Федерального закона «О персональных данных» основным условием обработки персональных данных субъектов является наличие согласия самого субъекта. Частью 2 вышеуказанной статьи установлены случаи, когда согласие субъекта персональных данных не требуется. В вышеприведенной цитате из текста законопроекта присутствует прямое указание на одно из подобных исключений, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Таким образом, операторы персональных данных («…государственные органы, органы местного самоуправления и организации, участвующими в предоставлении… государственных и муниципальных услуг…») будут избавлены от необходимости получать согласие субъекта на обработку его персональных данных, по запросу которого осуществляется обработка. Тем не менее, далее по тексту авторы законопроекта предлагают считать запрос субъекта (заявителя) о предоставлении ему государственной или муниципальной услуги эквивалентом согласия заявителя с обработкой его персональных данных. Необходимость этого уточнения представляется сомнительной в свете вышеизложенной ссылки на отсутствие необходимости в получении согласия субъекта. Введение такого уточнения ставит под сомнение существование каких-либо Федеральных законов (кроме ТК РФ), которые вообще можно считать попадающими под действие исключения, предусмотренного п.1 ч.2 ст.6 №152-ФЗ.
Цензура (контроль) в интернете
Смотрите также
- Регулирование персональных данных в РФ
- Обработка персональных данных в России
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в России
- Защита персональных данных в странах мира
- GDPR (Регламент Евросоюза о персональных данных)
- Кодекс этики использования данных
- IDX: Датамания
Примечания
- ↑ Минцифры разрешило обезличивать данные россиян без их согласия
- ↑ Операторов заставят сообщать о кибератаках и «утечках» данных
- ↑ В Росcии ввели штрафы за принуждение к передаче персональных данных
- ↑ РКН предложил ужесточить наказание за незаконное использование персональных данных
- ↑ [https://sozd.duma.gov.ru/bill/729516-7/ Законопроект 729516-7 (об установлении административной ответственности за невыполнение оператором при сборе персональных данных граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации)]
- ↑ Штрафы за отказ хранить данные в России поднимут в 6000 раз
- ↑ Путин ужесточил ответственность за ненадлежащую обработку персональных данных
- ↑ Минцифры РФ разработало правила трансграничной передачи персональных данных
- ↑ Постановление Правительства Российской Федерации от 23.09.2020 № 1526 "О Правилах хранения организаторами распространения информации в информационно-телекоммуникационной сети "Интернет" информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет" и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации"
- ↑ Что может рассказать волос с вашей головы и почему эта информация не для всех
- ↑ Сайты-нарушители закона о персональных данных будут блокировать незамедлительно
- ↑ Правительство внесло в Госдуму законопроект об особенностях обработки персональных данных человека, полученных из его генетического материала
- ↑ Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных