Новой нефтью могут стать и персональные данные

Фото pixabay.com

Мы живем в эпоху, когда каждую неделю хотя бы у одного из крупных операторов российских данных происходит утечка, а в Европе на очередную международную организацию налагаются штрафы за нарушение правил обработки и защиты персональных данных. Например, британский надзорный орган ICO наложил штраф на компанию Marriott в размере более 100 млн фунтов и еще почти 200 млн фунтов на British Airwais. Персональные данные – новая нефть, но в России пока куда лучше с обычной нефтью.

В нашей стране основными надзорными органами в этой сфере являются Роскомнадзор, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ФСБ. Первый отвечает за исполнение прав физических лиц при обработке их данных, вторая – за техническую защиту, а третья – за применение криптографии.

«Цифровая трансформация» Роскомнадзора

Фактически основным надзорным органом является Роскомнадзор. За девять месяцев этого года он выявил почти 2 тыс. нарушений в сфере защиты прав субъектов персональных данных, практически 1/4 из которых выявлена при систематическом мониторинге в интернете.

Как и бизнес, Роскомнадзор проходит этап некой «цифровой трансформации». В феврале этого года вышло постановление правительства, которое регулирует контроль и надзор в области защиты персональных данных. По сути, им определяется, как Роскомнадзор может проверять организации на предмет исполнения ими требований законодательства в этой сфере.

Теперь Роскомнадзор может без взаимодействия с компанией анализировать информацию в интернете, в СМИ, полученную по линии межведомственного взаимодействия, поданную в Роскомнадзор, а также иную информацию и на ее основании определять, есть ли нарушение и нужно ли выставлять штраф. По факту на основании информации с сайта организации, наличия на ней политики обработки персональных данных, поданного или неподанного уведомления, информации СМИ, выписки из ЕГРЮЛ и иных сведений Роскомнадзор может выявлять нарушителей в режиме онлайн.

Таким образом, можно проверять большое количество организаций. Так, по планам деятельности Роскомнадзора по Центральному федеральному округу меры систематического наблюдения будут проводиться в отношении страховых, финансово-кредитных организаций, интернет-магазинов, коллекторских агентств и иных типов организаций. Количество плановых проверок будет уменьшаться, будет увеличиваться число внеплановых проверок и мер систематического наблюдения, которые, как ощущается, могут быть автоматизированы.

Борьба с утечками персональных данных

Несмотря на то что в нашей стране есть и закон, и надзорный орган, и история проверок, и нарушения, за которые в Кодексе об административных нарушениях (КоАП РФ) установлена ответственность, проблемы регулирования обработки и обеспечения безопасности персональных данных остаются серьезными. На прошедшей недавно X Международной конференции «Защита персональных данных», организуемой Роскомнадзором, главной повесткой была как раз тема утечек персональных данных и борьба с ними. Высказывались представители Роскомнадзора, ЦБ, Сбербанка.

Сейчас есть серьезная уголовная ответственность за распространение персональных данных, но за покупку и использование на практике ничего не происходит. В результате жители страны регулярно получают звонки их страховых и кредитных организаций с предложениями о скидках на полисы ОСАГО и новых выгодных кредитах.

На текущий момент требования по уведомлению об инцидентах безопасности, в том числе с персональными данными, предусмотрены в банковском секторе в рамках Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT, ФинЦЕРТ). Уже в следующем году Роскомнадзор внесет законопроект, по которому будет предусматриваться административная ответственность за покупку и использование персональных данных, полученных преступным путем (то есть украденных). Помимо этого Роскомнадзор совместно с ЦБ намерен обсуждать с правительством проблемы, связанные с утечками персональных данных, и методы борьбы с ними. И эти обсуждения уже вылились в новое постановление правительства, по которому интернет-провайдеры теперь будут блокировать сайты, нарушающие требования законодательства РФ в области персональных данных.

Европротокол 108+

Россия 10 октября 2018 года подписала протокол №108+ о внесении изменений в Европейскую конвенцию о защите персональных данных. В Госдуму уже внесен законопроект по ратификации обновленной Евроконвенции. Это позволит европейским и российским организациям передавать друг другу персональные данные по упрощенной схеме. Сейчас для их передачи из Европы в Россию необходимо выполнить одно из условий, среди которых сбор согласий на передачу данных за пределы ЕС или подписание стандартных договорных условий.

После ратификации в российском национальном законодательстве появятся требования по «проектируемой приватности», когда оценивать риски для физических лиц по обработке их персональных данных нужно еще до того, как начнется такая обработка. Также должен появиться один или несколько независимых надзорных органов, который будет проверять исполнение требований обновленной Евроконвенции. Скорее всего таким надзорным органом станет Роскомнадзор, хотя непонятно, откуда у него возьмется та самая требуемая независимость.

И одно из главных новшеств, которое появится из-за подписания протокола изменений в конвенцию, – это «уведомление об утечках». Российские организации при появлении инцидентов информационной безопасности с персональными данными должны будут уведомлять соответствующий надзорный орган. За неуведомление будут предусмотрены =штрафные санкции. Вкупе с желанием и действиями российских законодателей и надзорных органов это требование будет реализовано одним из первых.

То, что государственные органы единым фронтом выступают за борьбу с утечками данных и их предупреждением, – положительная тенденция, но остается еще много проблем в этой сфере. Однозначно сказать, спасут ли эти инициативы от незаконного использования наших данных, пока сложно, как и то, снизит ли введение дополнительных мер ответственности количество утечек данных. Есть надежда, что инициативы, их реализация и здравый смысл помогут если не полностью побороть утечки персональных данных (это что-то из области фантастики), то хотя бы существенно снизят их количество и минимизируют вред для обычных людей.