X Международная конференция «Защита персональных данных»: что интересного?
17.12.2019
Булаев Михаил Александрович, ведущий консультант-аналитик
7 ноября в Москве состоялась X Международная конференция «Защита персональных данных».
На конференции был рассмотрен ряд актуальных вопросов, в первую очередь касающихся проблемы защиты прав субъектов персональных данных в условиях надвигающейся всеобщей и полной цифровизации экономики, а также международные аспекты этой проблемы, в том числе связанные с введением в действие европейского Общего регламента защиты персональных данных - General Data Protection Regulation (GDPR).
1. Как известно, 10 октября 2018 г. в Страсбурге Россия подписала протокол о внесении изменений в европейскую Конвенцию о защите персональных данных. Таким образом, Россия наряду с 19 государствами-членами Совета Европы поддержала обновленную редакцию Конвенции.
В настоящее время ожидается одобрение подготовленного Минкомсвязи законопроекта «О ратификации Протокола о внесении изменений в Конвенцию Совета Европы № 108 о защите физических лиц при автоматизированной обработке персональных данных».
Согласно протоколу, Российская Федерация берет на себя обязательства по гармонизации национального законодательства в сфере персональных данных с учетом положений обновленной Конвенции.
Новшества, закрепленные протоколом, условно можно разделить на три группы:
- первая – это требования к принципам пропорциональности, минимизации и законности сбора, обработки и хранения персональных данных;
- вторая – введение новой категории чувствительных данных – генетических данных;
- третья – определение новых прав, предоставляемых гражданам, для управления своими персональными данными при их обработке на основе математических алгоритмов, искусственного интеллекта и т.д.
Кроме того, после одобрения законопроекта:
- будет введена обязанность операторов персональных данных уведомлять уполномоченный надзорный орган об утечках, т.е. операторы персональных данных под угрозой административной ответственности должны будут сообщать государству обо всех серьезных случаях утечки информации;
- будет установлен четкий режим трансграничных потоков данных;
- в российском законодательстве появится новое определение оператора данных – «контролер» персональных данных.
Таким образом, ждём в ближайшем будущем очередных и довольно существенных изменений в закон «О персональных данных».
2. Минкомсвязи подготовил очередные изменения в Федеральный закон «О персональных данных», связанные в основном с введением новых понятий: «обезличенные персональные данные» – информация, которая в результате обезличивания персональных данных не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных и «обезличенные данные» - информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту персональных данных, и установлением порядка и условия обработки этих категорий информации. Возможно, эти изменения будут внесены в ближайшее время.
3. Минкомсвязи также анонсировал подготовленные изменения в КоАП, связанные с введением административных штрафов за нарушение требований п. 5 ст. 18 Федерального закона «О персональных данных» о локализации баз данных при сборе операторами персональных данных.
Пока готовился этот материал, 2 декабря Президент РФ подписал Федеральный закон № 405-ФЗ, устанавливающий весьма существенные штрафы за нарушения, связанные с обработкой информации в Интернете. В том числе за невыполнение требований о локализации баз персональных данных в период их сбора для юридических лиц установлен штраф в размере от 1 до 6 млн. рублей и штраф от 6 до 18 млн. рублей – за повторное нарушение.
4. Было проведено интересное сравнение подходов европейского (Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) и российского к определению оснований для обработки персональных данных. Европейский подход преимущественно основан на понятии «законный интерес» оператора, российский же делает упор на получение согласия субъекта. Интересно, что европейский подход принципиально не приемлет возможность получения работодателем согласий на обработку персональных данных работников, так как такие согласия не могут быть признаны свободными и принимаются под давлением работодателя. К сожалению, российским законодательством понятие «законный интерес» оператора четко не определено.
5. Представитель надзорного органа ЕС по GDPR (Оливье Маттер) подтвердил, что в ряде случаев требования GDPR распространяются на российских операторов. Таким образом, операторам, осуществляющим бизнес-процессы, направленные на государства–члены ЕС, необходимо оценить, насколько они попадают под действие соответствующих критериев, установленных GDPR, и принять необходимые меры по выполнению требований этого Регламента.
6. Роскомнадзор также дал ряд полезных разъяснений:
- анонсировал подготовку в следующем году предложений по регламентации процедур внутреннего контроля за обработкой операторами персональных данных и установлению административной ответственности за распространение, приобретение и последующее использование персональных данных, полученных преступным путем;
- подтвердил свою позицию о необходимости создания операторами, осуществляющими сбор персональных данных через интернет-сайты, условий для ознакомления пользователей с правилами сбора и обработки персональных данных. На сайтах должна быть размещена ссылка на политику обработки персональных данных и приведены данные для обратной связи с пользователями;
- обратил внимание на то, что при предоставлении уведомлений оператор обязан получить согласие у назначенного им ответственного за обработку персональных данных на размещение его персональных данных в общедоступном источнике. Таким источником является Реестр операторов, ведение которого возложено на Роскомнадзор;
- анонсировал подготовку в следующем году предложений:
- по регламентации процедур внутреннего контроля за обработкой операторами персональных данных;
- по установлению административной ответственности за распространение, приобретение и последующее использование персональных данных, полученных преступным путем;
- по типовым перечням персональных данных, обрабатываемых операторами в типовых случаях. Эта инициатива представляется весьма полезной, особенно в связи с неопределенным правовым статусом «больших данных», собираемых и обрабатываемых операторами в сети Интернет, часть из которых может быть отнесена к персональным данным.
7. Представитель ФСБ России обратил внимание на то, что в информационных системах человек продолжает быть главной уязвимостью, в связи с этим операторам необходимо особое внимание обратить на подбор специалистов на должности администраторов информационных систем и контроль за их действиями при эксплуатации систем.
8. ФСТЭК России подтвердила возможность применения в негосударственных информационных системах персональных данных несертифицированных средств защиты информации, оценка соответствия которых может проводиться в других (кроме сертификации) формах, предусмотренных Федеральным законом «О техническом регулировании», например, в форме испытаний. Такой же подход и в отношении формы оценки эффективности принятых в информационных системах мер защиты персональных данных: для государственных систем – это обязательная аттестация; для негосударственных – решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. Например, это могут быть приемо-сдаточные испытания системы защиты.