Алексей ЗАЛЕЦКИЙ	13 марта 2023

13 марта 2023

Изменения в законе о персональных данных: что нужно знать бизнесу?

В связи с участившимися случаями утечек чувствительной информации в закон «О персональных данных» внесены очередные изменения. Знание и выполнение требований этих нововведений поможет избежать миллионных штрафов.

Утечки данных в России

В 2021 г. число скомпрометированных записей персональных и платежных данных россиян, по данным InfoWatch, выросло на 20%. Всего «утекло» 8,42 млрд записей, 90% из них содержали ПДн. В 2022 г., как подсчитали в Group-IB, объем таких утечек увеличился в 40 раз – пострадали персональные данные около 100 млн россиян. В сеть, по оценке «Лаборатории Касперского», попало примерно 1,5 млрд записей. Участились случаи корпоративных утечек. Данных «сливалось» так много, что их стоимость на черном рынке упала в два раза – сейчас можно найти базы стоимостью $100–150.

Вот лишь несколько примеров: в 2021 г. сведения об 1,3 млн владельцев автомобилей Hyundai в России с именами, адресами и телефонами были выставлены на продажу на теневом форуме за $2 тыс. Годом позже в открытый доступ попали данные сотен тысяч покупателей сети «ВкусВилл». Из совсем недавнего – утечки 1,6 млн записей «Спортмастера», информация о десятках тысяч клиентов страховой компании «Согаз-Жизнь» и миллионах пользователей платежного сервиса Mandarinbank.

Чтобы снизить риски утечек, законодательство в этой сфере постоянно совершенствуется, а штрафы для юридических лиц растут.

Что меняется в законодательстве о персональных данных

Персональные данные россиян обрабатывают более 6 млн организаций и ИП. Каждая из них является оператором данных и обязана соблюдать законодательство о ПДн. Для юридических лиц предусмотрена административная ответственность за нарушения: штраф от 30 тыc. до 6 млн руб. При повторении ситуации – до 18 млн руб.

Это положение закреплено в ст. 13.11 Кодекса об административных правонарушениях. Порядок обращения с личной информацией клиентов и сотрудников регламентируется законом «О персональных данных» (№ 152-ФЗ). Очередные изменения в этот закон внесены законом № 266-ФЗ от 14.07.2022 и вступили в силу 01.09.2022. Ряд других нововведений планируется утвердить в марте текущего года. На что обратить внимание?

1. Изменились формы подачи документов на обработку персональных данных:

В поручении на обработку персональных данных должны быть указаны перечни ПДн и действий с ними, а также цель обработки ПДн. Необходимо соблюдать требования по локализации и положения ст. 18.1 закона № 152-ФЗ об обязанностях оператора. Кроме того, компания, выполняющая обработку ПДн, должна уведомлять оператора об утечках, а также предоставлять заказчику сведения и документы о выполнении поручения. Все это нужно включать в шаблон поручения.
В договоре с субъектом ПДн – физическим лицом – не должны содержаться положения, которые ограничивают его права и свободы. Также запрещается обработка персональных сведений несовершеннолетних.
Согласие на обработку ПДн должно носить конкретный, предметный, сознательный и однозначный характер. Добавились понятия «предметность» (соответствие документа цели обработки) и «однозначность» (намерение субъекта дать согласие должно быть выражено ясно – например, поставлена галочка). Кроме того, субъекта важно проинформировать об этом. В случае обязательного согласия в обязанности оператора входит разъяснение субъекту юридических последствий отказа.
Формы уведомлений теперь строго регламентированы. Если же оператор получил ПДн не от их субъекта, он обязан до начала обработки данных проинформировать того о процессе, в том числе о цели процедуры и перечне ПДн, которые планируется обрабатывать.

2. Строго определены сроки реагирования на запросы субъектов данных.

Теперь срок ответа не должен превышать 10 рабочих дней. В такой же срок оператор обязан удалить персональные данные по запросу. Допустимо продление срока ответа на неделю, но лишь при условии подробного уведомления субъекта данных.

Любопытный момент – субъект теперь может отказать оператору в предоставлении биометрии или согласии на обработку биометрических данных. Но оператор не имеет права отказать субъекту в обслуживании. При этом биометрией может считаться, например, идентификация личности в московском метро.

3. Стала обязательной подготовка внутренних регламентов компании:

регламента внутреннего аудита – аудит должен проводиться регулярно и соответствовать законодательным нормам обработки ПНд;
регламента ознакомления сотрудников с требованиями закона № 152-ФЗ. Он должен включать положение об ознакомлении с локальной нормативной документацией;
регламента об обучении сотрудников;
временного регламента оценки вреда субъектам – он пока не обязателен, но предполагается, что в марте появятся конкретные требования к его подготовке.

Кроме того, необходимо актуализировать политику обработки персональных данных. В частности, добавить детальную информацию о целях обработки ПДн – это обязательный пункт с 1 марта 2023 г. Эта информация должна быть размещена на всех страницах форм, используемых для сбора персональных данных. Нарушения будут грозить компаниям штрафами.

4. Подавать уведомления об обработке персональных данных в Роскомнадзор теперь нужно всегда, за исключением трех случаев:

обработка осуществляется исключительно ручным методом;
ситуация касается вопросов транспортной безопасности (должна присутствовать обязательная отсылка к законодательству РФ);
ситуация связана с вопросами государственной безопасности.

В остальных случаях нужно учитывать изменения в содержании уведомлений. В частности, оператор теперь обязан подробно описывать каждую цель обработки персональных данных: например, указывать категории субъектов данных, правовые основания, тип обработки и другую информацию.

Также нужно указывать всех, кто получает доступ к данным: ФИО (если это физлицо) или зарегистрированное наименование организации. Любые изменения в уведомления нужно вносить не позднее 15 числа следующего месяца.

Отдельно нужно уведомлять регулирующие органы о намерении осуществлять трансграничную передачу данных. Иностранные лица должны указать порядок обработки персональных данных в стране-получателе.

5. Изменился регламент реагирования на инциденты.

Теперь необходимо уведомить Роскомнадзор о нарушениях прав субъектов в течение суток. Дополнительно такая информация должна быть передана в ГосСОПКА (Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак). На решение проблемы дается 72 часа.

Положения об оценке нанесенного вреда и уничтожении скомпрометированных данных пока готовятся законодателями.

Охрана персональных данных

Персональные данные в последние годы стали одной из основных целей хакеров. Поэтому сейчас принимается ряд мер, нацеленных на ужесточение контроля за ними.

Так, Минцифры России подготовило законопроект об увеличении штрафов за утечку пользовательских сведений – на сумму до 3% годового оборота бизнеса. А Роскомнадзор в случае утечки данных сотрудников и клиентов может проводить проверки аккредитованных ИТ-компаний.

Строгое соблюдение мер и требований закона № 152-ФЗ поможет компаниям снизить финансовые и репутационные риски в области работы с персональной информацией.

Алексей Залецкий, руководитель департамента информационной безопасности, CorpSoft24

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Телеком	ТВ и медиа	Облака	ПО	Кадры
ИТ	Информационная безопасность	IP-сервисы	Аналитика	Регулирование
Интернет	ЦОД	Оборудование	Аутсорсинг	M&A
ИТ в образовании	ИТ в медицине	Big Data	E-commerce	Спутниковая связь
Блокчейн

Изменения в законе о персональных данных: что нужно знать бизнесу?

Читайте также: