В ближайшем будущем в России начнут действовать новые правила, касающиеся персональных данных — в том числе их удаления и оценки вреда при утечке. Соответствующие приказы обнародовал Роскомнадзор. Как отстоять свои права в новой системе и защитить чувствительную информацию, разбирались «Известия».
Заделали «дыры»
Порядок обращения с персональными данными и случаи его нарушения сегодня регулирует Федеральный закон № 152-ФЗ «О персональных данных». Согласно документу, каждой информационной системе, в которой хранятся и обрабатываются личные сведения, присваивается определенный класс защиты.
— Несмотря на то, что закон вышел аж в 2006 году, некоторые его положения до сих пор вызывают вопросы в части реализации и толкования, — говорит замдиректора департамента информационной безопасности STEP LOGIC Денис Пащенко.
Регуляторы стараются закрывать белые пятна. Например, летом были приняты изменения, затрагивающие компании и предпринимателей. Теперь они обязаны информировать органы власти о компьютерных атаках на сайт и утечке персональных данных. Также необходимо оповещать Роскомнадзор, если личные сведения планируют передать за рубеж.
В связи с изменениями ведомство утвердило два приказа, которые должны упростить для россиян решение споров, если компания отказывается удалять персональную информацию. Приказ от 27.10.2022 № 178 разъясняет, как оценить вред, причиненный при утечке.
— Приказ устанавливает требования к оценке вреда применительно к деятельности оператора по обработке ПД и не затрагивает вопросы, связанные с обеспечением безопасности персональных данных, регулирование которых отнесено к компетенции ФСБ и ФСТЭК России, — пояснили «Известиям» в Роскомнадзоре.
Ущерб в документе разделили на несколько степеней тяжести, также в нем прописали, кто может быть уполномочен оценивать вред, причиненный пострадавшему.
— Предыдущая редакция закона также обязывала оператора проводить экспертизу, но не связывала оценку с какими-либо требованиями Роскомнадзора, — пояснил ведущий юрист Европейской юридической службы Юрий Телегин.
С этим согласен и Денис Пащенко: операторы выполняли эти требования, исходя из своего видения, без формальных рычагов регулирования.
В другом приказе, от 28.10.2022, Роскомнадзор утвердил требования к уничтожению персональных данных. Организация обязана удалить личные сведения человека по его первому требованию. Оба документа вступят в силу с марта 2023 года и будут действовать шесть лет.
Принятые нормы являются логичной и давно ожидаемой мерой, считает управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев. Однако глобально изменить ситуацию в лучшую сторону удастся вряд ли, полагают эксперты.
А судьи кто
С каждым годом всё чаще появляются новости об утечке персональных данных пользователей. Только в этом году в сеть попала личная информация из электронных сервисов, соцсетей, магазинов, медицинских лабораторий и даже некоторых учреждений госсектора.
— В открытом доступе появляются разные сведения, и нельзя ставить в один ряд случаи, когда в сети оказались адреса электронной почты и реальные адреса места жительства людей, да еще и с кодами домофонов. Даже утечка номера паспорта и скана паспорта — это разные истории, — поясняет «Известиям» исполнительный директор российской IT-компании HFLabs Константин Степанов.
В феврале случилась одна из крупнейших утечек персональных данных в истории РФ: в открытый доступ попала информация более чем о 20 млн пользователей, в июле — о 25 млн клиентов компании «СДЭК» и 30 тыс. контрагентов, в августе вновь утекли сведения уже об 120 тыс. клиентах сервиса «СДЭК». Осенью стало известно об утечке данных почти 500 млн пользователей WhatsApp (принадлежит Meta, признанной экстремистской организацией в РФ), около 10 млн пострадавших были гражданами России. За год до этого в сети распространили, по разным оценкам, до 1,5 млрд данных Facebook-аккаунтов (как и WhatsApp, принадлежит Meta, признанной экстремистской организацией в РФ).
— Безусловно, на 2022 год пришелся бум в сфере утечек, — комментирует Евгений Царев.
Перечень слитых данных разнообразен: от ФИО до адресов с указанием этажа и кода домофона. Огласке предаются только наиболее громкие и резонансные случаи, добавляет Денис Пащенко. Увеличение числа кибератак на базы данных российских пользователей эксперты связывают в том числе с СВО.
— С начала специальной военной операции резко увеличилось количество таких утечек — более 140 случаев, в сеть попали около 600 млн записей о гражданах. За аналогичный период 2021 года было зафиксировано четыре инцидента с персональными данными, — уточнили «Известиям» в Роскомнадзоре.
Ввиду того, что в 2022 году резко увеличилось число утечек, выросло и количество судебных дел, связанных с взысканием компенсаций. При их разрешении всегда остро встает вопрос об оценке степени вреда, причиненного утечкой. Это, в свою очередь, существенно затягивает время рассмотрения. К тому же, по словам Евгения Царева, изначально не было понятно, что подобная оценка дает пострадавшему.
— Утвержденный же приказ описывает критерии с целью защиты именно субъекта. То, что учитывается только более высокая степень вреда, ставит оператора в заведомо невыгодное положение, однако одновременно является превентивной мерой, которая заставит компанию думать о надлежащей защите сведений клиентов, — рассуждает эксперт.
Регулятор дает выбор: проводить оценку вреда единолично или комиссией. Специалист считает, что в такую комиссию должны входить ответственный за обработку ПДН, ответственный за информационную безопасность и руководитель компании. В случае, если пострадавший не согласен с результатами проверки, он может обратиться в суд.
Помимо этого, гражданин вправе обратиться в Роскомнадзор с обоснованием, подтверждающим нарушение его прав и законных интересов, пояснили «Известиям» в ведомстве. Или в Центр правовой помощи гражданам в цифровой среде, который работает с 2021 года.
Штрафами не пуганные
В России с прошлого года действует закон, по которому каждый человек может отозвать свои персональные данные, где бы они ни хранились. Гражданин может напрямую обратиться к любому лицу, опубликовавшему такого рода информацию, и потребовать их уничтожения. При этом убрать их обязаны по первому требованию, владельцу не надо ничего никому доказывать и объяснять.
Однако, как показывает практика, чаще вместо уничтожения информации заявителю предлагают отозвать согласие на обработку персональных данных, что, по сути, является временной мерой. Если компания не удалит сведения в установленные сроки, это будет считаться нарушением по ст. 13.11 КоАП РФ и наказываться штрафом.
— Штраф сравнительно небольшой, однако постоянные нарушения, в соответствии с обновленными правилами, его увеличивают. Если же рассматривать не единичный случай, а весь массив субъектов, то приведенные суммы могут вырасти на порядок: всё будет зависеть от реальной судебной практики, — поделился мнением с «Известиями» Денис Пащенко.
Обычно из-за маленьких взысканий компании игнорируют требования об уничтожении данных, но новый законопроект сделает каждый штраф зависимым от доходов организации, указал специалист Роскачества Сергей Бодров.
— Минцифры подготовило законопроект, который предусматривает санкции до 3% от годового оборота компаний за утечку данных граждан. Что уже заставит операторов более ответственно относиться к сохранности информации, — полагает эксперт.
В том, что минимальные санкции позволяют организациям не соблюдать закон, уверен и Евгений Царев.
— Как известно, на сегодняшний день размеры штрафов за утечки крайне малы. К примеру, один из крупных российских сервисов был оштрафован по ч. 1 ст. 13.11 КоАП РФ на 120 тыс. рублей за две утечки персональных данных пользователей, а это данные более чем 58 тыс. пользователей, информация о которых утекла в сеть, — рассуждает он.
Существуют и такие организации, которые не удаляют данные, а просто дают отписку, что они уничтожены, признает Евгений Царев:
— В 99% случаев человек никак не может отследить, удалили ли фактически его персональные данные или нет, оставшийся же 1% приходится на тех людей, в присутствии которых сведения непосредственно уничтожали, например, пропустили через шредер.
По мнению собеседника, утверждение требований к тому, как должен подтверждаться факт уничтожения данных, решает эту проблему. Раньше у оператора не было обязанности по выгрузке данных об уничтожении из журнала регистрации событий, что позволяло и вовсе не удалять информацию, а просто проставить нужную дату в документах перед проверкой. По новым правилам придется не просто составить акт по утвержденной форме, но и выгрузить данные из системы.
Исключением могут являться ситуации, когда личные сведения требуется раскрыть по закону. Например, при взыскании с гражданина задолженности по договору.
Кому выгодны утечки
Согласно опросу, проведенному на портале Роскачества в сентябре 2022 года, 89,5% пользователей не чувствуют, что они защищены от краж и утечек персональных данных в сети. Причин для кражи такой информации несколько. Например, личные данные можно продать другим злоумышленникам, составить на их основе более достоверные фишинговые письма, получить доступ к аккаунтам и устройствам владельца информации или оценить платежеспособность человека.
Степень опасности обуславливается набором украденных данных, комментирует «Известиям» Денис Пащенко.
— Последствия могут быть самыми различными: от слежки за человеком (с помощью информации о перемещении на такси или ином транспорте) до реализации мошеннических схем (документы, биометрия), шантажа и угроз (сведения о болезнях, личной жизни), — перечислил он.
Утечка персональных сведений может облегчить правонарушителям возможность представляться от имени субъекта ПДН, а также использовать эти данные для незаконной рекламы товаров, работ и услуг, добавляет Юрий Телегин.
Евгений Царев считает, что украденная информация способна обернуться финансовыми и репутационными потерями.
— К примеру, слив в сеть паспортных данных может привести к тому, что на пострадавшего оформят микрокредиты, с которыми сложно будет что-то сделать, — рассуждает специалист. При этом он отмечает, что желание заработать на продаже персональных данных толкает на преступление и «внутренних злоумышленников» — сотрудников организаций, которые намеренно сливают данные клиентов на черный рынок.
Полностью защитить свои данные на сегодняшний день нельзя — многие «дыры» в системах безопасности обнаруживаются уже после неприятных инцидентов.
— В большинстве случаев причина утечек — человеческий фактор. Культура работы с персональными данными в российском обществе еще формируется, и нередко сотрудники не понимают, что несут ответственность за такую информацию, — считает Константин Степанов. Специалист также утверждает, что часто утечки случаются из-за недосмотров в процедуре работы с данными, отсутствия необходимых ограничений и несвоевременного удаления.
Технические проблемы и желание сэкономить на системе безопасности компаниями приводят к тому, что хакеры находят обходные пути.
При этом даже полная реализация всех требований законодательства и огромные траты на защиту ПДН не дают полной гарантии защиты от утечек, дополняет Денис Пащенко.
Самое главное, что может сделать пользователь, это внимательно относиться к тому, где и какие данные он предоставляет. Константин Степанов обращает внимание на то, что клиент может частично отозвать согласие на обработку персональных данных: отказаться от передачи их третьим лицам или от получения коммерческой информации. При этом организация сможет по-прежнему обрабатывать его данные.