Устранить течь: вступают в силу масштабные изменения о персональных данных

Борьба с утечкой данных обрела новые законодательные рамки. У Роскомнадзора появилось больше поводов для штрафа, у бизнеса — больше обязанностей по защите клиентских данных, а у пользователей — больше причин, чтобы не сообщать о себе ничего. Согласно новым правилам, компании должны информировать ФСБ об утечках, а пользователь может и вовсе отказать в обработке своих данных и получить те же услуги, что и обычно. Проблема в том, что сами компании, включая госсектор, не всегда знают, какая информация является персональной. Подробнее — в материале «Известий».

В курсе обработки

Услышат, где звон: в России создадут систему проверки данных абонентов

Как это поможет в борьбе с мошенниками

С сентября 2022 года вступают в силу поправки в 152-ФЗ «О персональных данных». Масштабные изменения коснутся всех, кто может считаться оператором данных — работодателей, интернет-магазинов, медклиник, небольших фотомастерских и крупных корпораций.

Ключевым нововведением является требование уведомлять Роскомнадзор об обработке персональных данных. Прежде существовала масса исключений, которые позволяли этого не делать. Например, если информация о физлице включала только его ФИО, если требовалось оформить разовый пропуск для входа на территорию или речь шла об обработке данных по трудовому законодательству — в этих случаях в ведомство можно было не сообщать.

Редкие исключения тем не менее остались, прежде всего они касаются государственной и транспортной безопасности.

— Еще одно исключение относится к обработке персональных данных без использования цифровых технологий. Это применимо для отдельных процессов обработки данных, осуществляемых только на бумажных носителях, — отметил руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев.

Фото: ИЗВЕСТИЯ/Александр Казаков

Защита данных от утечки

Сообщение из правил: переписка и геоданные россиян могут утекать зарубежным мошенникам

Чем опасны для пользователей интернет-сервисов иностранные SMS-агрегаторы

Основные изменения в законодательстве касаются защиты данных, отмечает руководитель департамента цифровых решений агентства «Полилог», разработчик Polycode Людмила Богатырева.

— В последние месяцы утечки персональных данных стали носить массовый характер. По информации Роскомнадзора, с начала 2022-го произошло более 40 крупных утечек баз персональных данных, скомпрометировано 300 млн записей, — привела статистику эксперт.

По новым правилам, если у оператора случилась утечка из-за компьютерного инцидента, он обязан сообщить о ней в систему ФСБ России по обнаружению, предупреждению и ликвидации последствий компьютерных атак (ГосСОПКА). В остальных случаях при утечке потребуется уведомить Роскомнадзор и провести внутреннее расследование с выявлением виновников, поясняет Людмила Богатырева. Об утечке нужно сообщить в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования.

Преимущество поправок не столько в ускорении расследования, сколько в том, что оно в принципе становится обязательным, говорит руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев. Однако, по его словам, для реального расследования нужны серьезные инструменты: системы аудита хранения данных, контроля утечек, мониторинга угроз в ИТ-инфраструктуре.

— По нашим данным, такими системами оснащены самое большее треть российских компаний. А их единовременная закупка, включая оборудование, необходимое для передачи отчетов — большая финансовая нагрузка. Таким образом, качественно выполнить нормативы смогут те, кто уже этим занимается. Для других компаний срок в три дня будет казаться маленьким, особенно для расследования внешних кибератак. Поэтому появляется риск формальных отчетов, — прогнозирует собеседник «Известий».

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Другая проблема в том, что риск замалчивания инцидентов по факту не снижается. По словам Алексея Парфентьева, большинство компаний просто не знают, что являются операторами персональных данных и должны выполнять какие-то требования по их защите, тем более расследовать их утечки.

Персона нон data: в чем риски сервисов по распознаванию данных

Эксперты считают, что обработка документов за пределами банков чревата утечками

— Мы проводили исследование среди госслужащих и выяснили, что больше половины из них не знают, какая информация относится к ПДн! Другой наглядный пример: в Реестре операторов ПДн, который ведет Роскомнадзор, зарегистрированы 445 845 компаний, в то время как в России действуют 3,44 млн юрлиц (данные ЕГРЮЛ за 2020 г., без учета ИП и самозанятых), которые так или иначе имеют дело с персональными данными — хотя бы собственных сотрудников. Это также значит, что напрямую в поле зрения регулятора попадает только десятая часть реальных операторов данных, — рассказал эксперт «СерчИнформ».

Станут ли безопаснее облачные сервисы

Другая важная мера: если компания передает обработку данных специальному оператору («процессору»), все обязанности по их защите ложатся именно на него. Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений.

«Процессоры» и раньше должны были защищать персональные данные. Однако прежде, так как не было жестко прописанных требований, рынок толковал такие сервисы по-разному, из-за чего некоторые компании считали возможным выполнять только ряд требований. Сейчас поправки убрали эту неопределенность, пояснила «Известиям» руководитель групп аналитики, аудита и техподдержки ИБ компании «Крок» Анастасия Федорова. Плюс новые положения закона позволяют операторам дополнительно контролировать действия «процессоров».

Фото: РИА Новости/Александр Кряжев

Надежда и опора: что ждет российский рынок информационной безопасности

Эксперты обсудили перспективы отрасли в новых условиях

— Мы получаем принцип двойного контроля, не только со стороны государства, но и со стороны оператора. Поэтому теперь при выборе поставщика облачных услуг необходимо будет обращать внимание и оценивать, насколько добросовестно он выполняет свои обязательства по защите персданных. На 100% это требование не снизит риск утечек, но уровень доверия к облачному провайдеру увеличивает в разы, — считает специалист.

По наблюдению Алексея Парфентьева, мера явно заимствованная из GDPR (европейского регламента защиты данных) и однозначно положительная, так как делает прозрачнее процессы оборота ПДн.

— Если какое-либо облако, SaaS или PaaS-поставщик не готовы выполнять такие условия, они просто не подпишут контракт, — полагает собеседник.

Ответственность за утечки

Несмотря на значительные изменения ФЗ «О персональных данных», ответственность операторов, предусмотренная ст. 13.11 КоАП РФ, не изменилась, подчеркивает Владимир Ожерельев. Как правило, речь идет о небольших штрафах, едва ли поучительных для крупных операторов. В настоящее время прорабатываются новые санкции за утечку данных, отметил юрист.

В частности, Людмила Богатырева рассказала, что активно обсуждается введение оборотных штрафов за нарушение сохранности данных. Размер таких штрафов будет напрямую зависеть от выручки компании.

Фото: ТАСС/Александр Рюмин

Рисковый поход: в Сеть утекли данные клиентов «Почты России»

Как обезопасить свои данные во время интернет-шопинга

Прежде чем вводить оборотные штрафы, неплохо было бы поработать над прозрачностью законодательства о персональных данных, простотой его применения, неотвратимостью наказания, гражданско-правовыми возможностями субъекта персональных данных, говорит руководитель отдела информационной безопасности компании «Инфобип» Денис Лукаш.

— К сожалению, не видно, что такие вопросы поднимаются. Если у предпринимателей нет возможности на это повлиять, тогда хотелось бы иметь возможность рассматривать или оспаривать оборотные штрафы в арбитражном суде, — указал он.

Вопреки отказу

С 1 сентября у обычных пользователей появляется больше прав, относительно своих же данных. Теперь операторы обязаны предоставить услуги, даже если клиенты отказываются предоставить биометрию и не дают согласие на обработку личной информации. К биометрических сведениям относятся отпечатки пальцев, изображение лица, голос, радужная оболочка глаза. Допустим, если кадровик собирает фото для пропусков, а работник отказывается его давать, первый не имеет права не оформить пропуск.

То же самое в торговле — продавец не вправе требовать от покупателя персональные данные как при покупке, так и при возврате предмета. Например, если товар оказался бракованным или не подошел, клиент может не показывать паспорт при оформлении возврата.

Фото: Global Look Press/picture alliance/Robert Schlesinger

Вскрытая угроза: где в следующий раз украдут наши личные данные

Минцифры назвало способы добычи хакерами персональной информации, а эксперты — их возможные новые цели

Обычное соглашение, которое обычно дают пользователи на обработку данных, также попало в поле зрение законодателей. Теперь бездействие субъекта, в частности, его молчание, отсутствие ответа на протяжении какого-то времени больше нельзя считать согласием.

Помимо этого, пользователи получили право запросить у оператора информацию о том, какие именно данные есть у компании, и потребовать прекратить их обработку. Сроки реагирования на такие запросы сокращены с 30 до 10 рабочих дней.

— Из заметных несостыковок новых поправок можно отметить норму о том, что согласие на обработку персональных данных может предоставляться в случае, когда согласие является обязательным в силу закона. При этом обработка персональных данных в силу закона является отдельным основанием их обработки, которая не требует наличия согласия, — заключил юрист Владимир Ожерельев.