Добрый день, уважаемые коллеги! С некоторых пор мы решили разделять наши статьи в зависимости от содержания и объема текста. Надеемся, что так нашим постоянным читателям будет проще находить необходимую информацию. Как следует из хештега, наша сегодняшняя статья будет разбором актуальных новостей законодательства в сфере информационной безопасности.
Мы продолжаем следить за законотворческой деятельностью и сегодня рассмотрим проект внесения изменений в один из основополагающих законов – Федеральный Закон № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных.
Для желающих более подробно изучить сам текст документа, ссылка на законопроект: №101234-8 Законопроект :: Система обеспечения законодательной деятельности (duma.gov.ru). Кстати, в случае принятия данного законопроекта, эти изменения коснутся абсолютно всех наших читателей. И это не преувеличение. Давайте разбираться почему.
Как указано в пояснительной записке к законопроекту, он разработан в целях усиления защиты прав граждан на неприкосновенность их частной жизни. В настоящее время проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц имеет чрезвычайно высокую актуальность. Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе. Широкое распространение получили сервисы в сети Интернет, занимающиеся противоправным оборотом персональных данных (т.н. даркнет), где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т.п.).
«…Все это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией, но и создает реальную угрозу для совершения преступлений и правонарушений: мошенничества, в т.ч. с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т.п..»
– считают авторы законопроекта. Они полагают, что внесение изменений в соответствующие НПА поможет решить эти проблемы.
Немало копий было сломано во всевозможных пабликах при обсуждении перспектив данного законопроекта. Причем наибольшее количество обсуждений, приходится на сообщества агентств недвижимости и риэлторов. Ведь изменения, помимо Закона № 152-ФЗ также коснутся законов «О нотариате» и «О государственной регистрации недвижимости».
И вот – новость! 24 мая на пленарном заседании Госдума РФ законопроект №101234-8 принят в первом чтении.
Да, безусловно, в него могут быть внесены изменения и поправки (прим. желающие могут пройти по указанной выше ссылке и ознакомиться с полным перечнем документов, включая решения и рекомендации различных комитетов и ведомств). Однако уже сейчас можно сказать, что государством взят курс на усиление защиты персональных данных граждан (далее – ПДн) и одновременно с этим на ужесточение требований к операторам.
Коснутся ли конкретно Вашу организацию изменения? Безусловно!
Почему? Вернемся в исходному документу. Статья 3 Закона № 152-ФЗ:
«…оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн».
Иными словами, любой из видов обработки любых персональных данных делает Вас оператором. А вот в зависимости от того, какие данные, в каком объеме и каким способом Вы обрабатываете, к Вам будут предъявляться разные требования. Поэтому рекомендуем внимательно ознакомиться с содержанием статьи и проанализировать, какие из них касаются Вас.
Если у Вас появятся вопросы – можете задавать их в комментариях к этой статье либо связаться с нами любым из доступных способов.
Первое, на что обратим Ваше внимание – необходимость направить уведомление в Роскомнадзор (ст. 22 Закона № 152-ФЗ). Вам известно, что оператор обязан ДО начала обработки ПДн направить уведомление в Роскомнадзор. В настоящее время есть перечень исключений, при которых направление уведомления необязательно. В соответствии с законопроектом, этот список сокращается, а именно, признаются утратившими силу пп. 1-6 ч. 2 ст. 22, изменяется содержание пп. 7, 8. Таким образом, количество операторов, которые обязаны направлять уведомление, значительно увеличится. Кроме того, предлагается изменить содержание уведомления.
Вторым существенным изменением является уменьшение сроков реагирования операторов на запросы субъектов ПДн и регуляторов по вопросам, связанным с незаконной обработкой персональных данных – с 30 дней до 10 рабочих (!) дней. На Операторов также возлагается обязанность прекратить дальнейшую обработку ПДн по требованию их владельца в 30-тидневный срок.
Устанавливается прямой запрет Операторам на отказ гражданам в оказании услуг при отказе предоставить свои ПДн (ст. 11 Биометрические ПДн), если такое предоставление не является обязательным. Одновременно вводится запрет на обработку биометрических ПДн несовершеннолетних (ВНИМАНИЕ: есть исключения!).
Поскольку замечено, что упомянутые в начале статьи нелегальные сервисы с базами данных преимущественно размещаются в иностранном сегменте сети Интернет, на который не распространяются требования российского законодательства в сфере персональных данных, большое внимание уделено совершенствованию правовой защищенности субъектов персональных данных при трансграничной передаче персональных данных, а также усилению госконтроля в указанной сфере. Содержание статьи 12 изменяется полностью. Для всех операторов обязательно уведомление Роскомнадзора о намерении осуществлять трансграничную передачу ПДн. В той же статье описан порядок уведомления и иных действий операторов.
Предлагается значительно расширить полномочия регулятора – Роскомнадзора, а также обязать Операторов взаимодействовать с ГОССОПКА и регуляторами в вопросах информирования об инцидентах ИБ. Это предусмотрено изменениями в ст. 19-23. В частности, оператора обяжут:
…осуществлять непрерывное взаимодействие с ГОССОПКА…, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу ПДн…
Статью 21 дополнят частью 3.1, которая закрепляет обязанность оператора уведомлять Роскомнадзор о ЛЮБЫХ инцидентах, повлекших те же последствия, в течение 24 часов с момента наступления такого инцидента. Также статью 21 предлагают дополнить частью 7. В соответствии с ней, Роскомнадзору необходимо утвердить Требования, в соответствии с которыми операторам необходимо подтверждать факт уничтожения ПДн в случаях, предусмотренных 21 статьей.
И, наконец, предлагаемые изменения в 23 статью – для учета информации об инцидентах Роскомнадзор должен вести реестр учета инцидентов в области ПДн, а также определить порядок и условия взаимодействия с операторами в рамках ведения этого реестра. Сведения об инцидентах РКН будет передавать ФСБ.
Как считают авторы законопроекта, его принятие позволит повысить уровень защищенности ПДн граждан Российской Федерации, что в свете последних событий (таких как утечка данных о клиентах крупных сервисов доставки еды или сетей мобильных операторов), в самом деле необходимо.
Будут ли приняты эти изменения и, если будут, какое влияние окажут на информационную безопасность, покажет время. Если более точно, срок внесения поправок в законопроект приходится на 22 июня. Каким будет законопроект перед вторым чтением определенно мы сказать не можем. Однако мы будем отслеживать эти изменения и своевременно информировать Вас.
А наши специалисты продолжают следить за новшествами не только законодательства, но и программного обеспечения в рамках импортозамещения. Также мы прорабатываем решения для перехода на отечественное «железо» без потери функциональности и с максимальным комфортом для заказчика.
Следите за нашими новостями на сайте и телеграм-канале.