Защита персданных породила много неясностей
1 сентября вступает в силу часть положений закона 266-ФЗ, который вносит изменения в законодательство по защите персональных данных. Как отметила руководитель группы аналитиков, аудита и технической поддержки информационной безопасности интегратора "Крок" Анастасия Федорова, этот документ создавался в очень сжатые сроки. Законопроект внесен в начале апреля и уже в середине июля принят.
Триггером к принятию поправок стал, как напомнила Анастасия Федорова, целый ряд громких и резонансных инцидентов, которые затронули значительные массы жителей России. По данным Роскомнадзора, с февраля произошло более 40 такого рода инцидентов, по данным независимых источников - более 50.
По данным исследования "АльфаСтрахование", 44% активных пользователей интернета в России сталкивались с утечками своих данных, причем более половины из этого числа даже не один раз. Каждый седьмой опрошенный сообщил, что в результате утраты персональных данных с банковских карт неправомерно списывали деньги. Также пострадавшие жаловались на шантаж и вымогательство денег со стороны злоумышленников. Руководитель управления страхования имущества физлиц "АльфаСтрахование" Татьяна Ходеева возлагает вину на самих пользователей, которые не соблюдают меры безопасности и не применяют технические средства защиты.
При этом значительная часть этих инцидентов вызвана внешними атаками, мотивом которых стала не монетизация, как это было раньше, а нанесение ущерба компании. На это, в частности, обратил внимание вице-президент ПАО "Ростелеком" Игорь Ляпунов на презентации курсов по стратегическому управлению цифровой устойчивости бизнеса. При этом, по его оценке, до 90% утечек данных, информация о которых распространяется в публичном пространстве, являются или компиляцией, или просто содержат потерявшие актуальность данные. Такие фейковые утечки стали одной из главных тенденций текущего года.
Наиболее значимыми из нововведений, которые вступают в силу с 1 сентября, по мнению Анастасии Федоровой, являются новые требования к нормативно-правовым актам, принимаемым местными органами власти и на уровне отдельных компаний и корпораций. Эти документы необходимо будет согласовывать с Роскомнадзором. Данное требование появилось для того, чтобы ведомственные и местные нормативно-правовые акты вовремя актуализировались, чего раньше часто не делалось. По оценке начальника отдела кадров ИТ-компании "Аурига" Елены Козякиной, многим компаниям с 1 сентября предстоит масштабная работа по полному переписыванию всей нормативной базы. По оценке Анастасии Федоровой, именно переработка локальной нормативной базы является одной из наиболее трудоемких задач, которые встают перед компаниями, являющимися операторами персональных данных. Причем данная процедура потребует серьезной перестройки бизнес-процессов.
"Сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения - даже в тех случаях, когда предоставление такой информации не является обязательным. Прежде всего это касается онлайн-магазинов. Если покупатель не хочет сообщать сотрудникам обычного или интернет-магазина свое полное имя, номер телефона и банковской карты, электронную почту и домашний адрес, ему не смогут отказать в покупке", - отметил председатель Госдумы Вячеслав Володин, комментируя законы, которые вступают в силу с 1 сентября.
"Федеральный закон №266-ФЗ содержит более 20 нововведений. Мы выделили три наиболее значимых. Все операторы персональных данных (ПДн) обязаны будут подключиться к системе ГосСОПКА. Многим из операторов ПДн - а всего их около 6 млн - будет крайне сложно исполнить это требование. Дело в том, что для подключения необходимо использовать сертифицированные средства криптографической защиты информации, а это связано с большими трудовыми и финансовыми затратами, - отметил директор по интеграции BI.ZONE Тимурбулат Султангалиев. - Операторам ПДн теперь нужно уведомлять Роскомнадзор о трансграничной передаче персданных до начала самой передачи. При этом есть вероятность, что регулятор запретит операцию - в таких условиях операторам может потребоваться пересмотр процессов обработки данных. Все это увеличивает трудозатраты. С 1 сентября при выявлении инцидента, связанного с утечкой персданных, операторы ПДн должны в течение 24 часов уведомить Роскомнадзор об инциденте. Помимо самого уведомления, от операторов требуется и немалое количество информации по инциденту. Чтобы собрать ее в столь короткое время, придется оперативно выделять ресурсы, а это будет проблемой для многих операторов. Возможно, в будущем регулятор упростит ряд требований или скорректирует их, пояснит их выполнение".
В целом же, как считает директор по развитию "Аванпост" Олег Губка, федеральный закон №266 сильно меняет основной нормативно-правовой документ, регламентирующий работу с персональными данными, - федеральный закон №152: "Изменения касаются всех участников процесса - организаций, занимающихся обработкой персональных данных, и государственных ведомств, среди которых и регуляторы. Многие из участников процесса обработки персональных данных учли ряд нововведений еще до выхода закона №266, поэтому процесс их введения в практику за достаточно короткое время представляется вполне реальным".
"Внедряемые изменения в большей степени приближают законодательство Российской Федерации в вопросе обработки ПДн к стандартам GDPR, однако неизменным остается объект регулирования - информация о гражданах, а не сами граждане. Наиболее важные изменения - экстерриториальность и интерпретация бездействия. Безусловно, все больше делается для контроля и защиты информации, однако в текущих условиях это определенно возрастающая нагрузка на операторов персональных данных. В ближайшее время существенно увеличится работа подразделений Legal, HR и Compliance", - считает заместитель генерального директора Cross Technologies Сергей Кобзев.
Также запрещено рассматривать бездействие субъекта персональных данных в качестве согласия на обработку его данных, ограничивать права и свободы субъекта. Серьезно ограничены возможности по использованию персональных данных несовершеннолетних. Данные обстоятельства, как предупреждает Анастасия Федорова, потребуют существенных изменений договорной базы, прежде всего в сфере обслуживания и розничной торговли.
Также у операторов персональных данных появились дополнительные полномочия в сфере контроля третьих лиц, которые обрабатывают персональные данные. В качестве таких третьих лиц могут выступать партнеры, подрядчики, контрагенты, внешние поставщики услуг. По мнению Сергея Кобзева, тут пока сложно прогнозировать внедрение изменений во взаимоотношениях между компаниями и подрядчиками/партнерами и их последствия. Практика по данным взаимоотношениям появится только через три-шесть месяцев.
Появилось требование документировать уничтожение персональных данных. При этом, по мнению Анастасии Федоровой, Роскомнадзор прописал данную процедуру так, как удобно ему. Реализация данного требования может создать проблемы для операторов. Также, по мнению эксперта, документ по оценке вреда является недостаточно проработанным, и как реализовать данное требование - непонятно. И в целом из четырех нормативных актов по состоянию на 30 августа в стадии проекта лишь один.
Появилось требование уведомлять регуляторов об инцидентах в течение 24 часов. Также в течение 72 часов следует представить результаты расследования. И тут, как предупреждает Анастасия Федорова, много неясностей. В частности, не определен перечень компаний, для которых обязательно подключение к ГосСОПКА и порядок взаимодействия с последней.
По мнению заместителя директора департамента консалтинга ГК Innostage Данияра Исхакова, именно данное требование, наряду с новым порядком трансграничной передачи, является одним из ключевых нововведений. Но при этом формулировки требований оставляют возможность подойти к их исполнению как формально, так и заставить полностью перестроить процессы взаимодействия с субъектом ПДн. "Сейчас достаточно сложно оценить, как в реальности будет осуществляться их исполнение. Будем следить за результатами проходимых проверок, выступлениями и публикациями представителей регуляторов", - отметил он.
По оценке Данияра Исхакова, сложнее всего будет выполнить требование по информированию о выявленных инцидентах и результатах их расследования: "В реестре операторов, осуществляющих обработку персональных данных, на сайте Роскомнадзора содержатся сведения о более 445 тыс. операторов персональных данных. Далеко не все из этих компаний обладаю средствами защиты, способными выявлять произошедшие утечки ПДн или факты неправомерного доступа к ПДн. Если вопрос оснащения операторов ПДн необходимыми средствами защиты может решаться выделением дополнительных бюджетов на обеспечение информационной безопасности, то вопрос наличия квалифицированных кадров, способных работать с этими средствами защиты и проводить расследование инцидентов, решить намного сложнее. Исходя из этого можно предполагать, что в ближайшее время операторы ПДн будут взаимодействовать с ГосСОПКА только по инцидентам, получившим публичную огласку".
И, наконец, увеличены размеры штрафов за различные нарушения. Как отметила Анастасия Федорова, особенно эти ужесточения касаются рецидива. И на этом останавливаться не будут. Появятся и новые практики, в частности, оборотные штрафы за масштабные инциденты.
Соответствующие нормы будут рассмотрены уже на осенней сессии Госдумы. Анонсированы и более серьезные меры воздействия, тем более что, по оценке председателя Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Александра Хинштейна, никаких препятствий для привлечения виновников утечек данных к уголовной ответственности нет и в действующем законодательстве.
