Итак, в сегодняшней серии – персональные данные, поехали!
Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.
Российские нормы по защите персональных данных
Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.
Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.
Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.
Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ. Отметим, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.
В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:
- документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был разработан и утвержден ФСТЭК России в 2008 году;
- Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПДн, предназначенные для государственных органов и операторов, использующих СКЗИ и разрабатывающих соответствующие МУ.
Кроме этого, ФСТЭК России в 2015 году разработала проект «Методики определения угроз безопасности информации в информационных системах», которой после её утверждения смогут руководствоваться как операторы государственных информационных систем, так и частные компании. Следует отметить, что государственные информационные системы (далее — ГосИС) определены в 149-ФЗ (ст.13 п.1) как федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли»), Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.
Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.
Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).
Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей). Максимальным УЗ является 1-ый, минимальным – 4-ый.
ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности определяет ФСТЭК России: Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее — СКЗИ).
Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий. Затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.
Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).
Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ — существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.
В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:
• Идентификация и аутентификация субъектов доступа и объектов доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей ПДн
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение вторжений
• Контроль (анализ) защищенности ПДн
• Обеспечение целостности ИС и ПДн
• Обеспечение доступности ПДн
• Защита среды виртуализации
• Защита технических средств
• Защита ИС, ее средств, систем связи и передачи данных
• Выявление инцидентов и реагирование на них
• Управление конфигурацией ИС и системы защиты ПДн.
Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в предыдущей публикации. Для ГосИС устанавливается класс защищенности (от максимального 1-го до минимального 3-го), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.
В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте Методики определения угроз безопасности информации в ИС — «базовым повышенным»), в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса — 2, 3 и 4 УЗ, для 3-го класса — 3 и 4 УЗ.
Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.
Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.
Приказ ФСБ РФ №378 устанавливает нормы по применению одного из шести классов СКЗИ при защите ПДн: КС1 (минимальный), КС2, КС3, КВ1, КВ2, КА1 (максимальный). Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников. Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность — установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.
Международные нормы по защите персональных данных
Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.
Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.
Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации пользователя и иные технические атрибуты.
Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.
Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.
Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:
- российский банк должен соответствовать нормам GDPR при обработке данных своих клиентов-граждан РФ при их нахождении на территории ЕС;
- онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе гражданам ЕС, использующий cookie-идентификаторы и/или аналитику поведения пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под действие норм GDPR;
- дочерняя структура российской компании, ведущая деятельность на территории ЕС.
Основой норм GDPR являются шесть базовых принципов:
- законность, справедливость и прозрачность обработки — соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy);
- ограничение целей обработки — обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей;
- минимизация данных — обработка ровно такого объема ПДн, который требуется для достижения целей обработки;
- точность — обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн;
- ограничение на хранение — после достижения цели обработки данные удаляются;
- целостность и конфиденциальность — обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.
Документ не дает операторам детальных инструкций по защите, предоставляя им свободу выбора мер и техник. Например, следует, где это возможно, шифровать ПДн при хранении, передаче и обработке, а также использовать алгоритмы псевдонимизации. Это ожидаемо снизит потенциальный ущерб в случае утечки, но GDPR не приводит конкретных условий применения этих защитных мер. В этом европейский подход отличается от российского, при котором государственные органы четко регламентируют меры защиты и условия их применения, не надеясь на благоразумие операторов — и, надо с сожалением признать, весьма обоснованно.
Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:
- субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на удаление ПДн по их просьбе, правом на перенос данных из одной системы в другую в машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта, системами профилирования и автоматизированными системами принятия юридически значимых решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта при обработке его ПДн);
- оператор должен производить оценку рисков нарушения прав и свобод субъектов ПДн (т.е. проводить Data Protection Impact Assessment);
- оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые меры по защите ПДн;
- при проектировании автоматизированных систем обработки ПДн операторы должны руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е. внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки);
- согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий — оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не давать пользователю выбора или не предоставлять ему возможность отозвать согласие без ущемления интересов;
- оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в случаях, когда:
- обработка ПДн ведется публичной компанией
- компания ведет систематическое профилирование большого количества субъектов ПДн
- компания обрабатывает большой объем данных о судимостях/нарушениях закона или большой объем специальных категорий ПДн (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях, биометрических и генетических данных, данных о состоянии здоровья);
- оператор обязан в течение 72-х часов уведомить локального представителя регулятора (supervisory authority, который подчиняется Data Protection Authority — регулятору по вопросам защиты данных) об обнаруженных или сообщенных фактах нарушения GDPR-норм обработки ПДн, в т.ч. утечках ПДн, задокументировав выявленные факты, прогнозируемый ущерб субъектам, принятые меры для смягчения последствий.
Практика взаимодействия США и Европы по вопросам обработки личных данных
В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:
- информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;
- предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);
- взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;
- поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;
- обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:
- в случае третьего лица, выступающего в роли оператора, — соответствие принципам уведомления субъектов и их осознанного согласия (т.н. Notice and Choice Principles), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);
- в случае третьего лица, выступающего в роли агента, т.е. обработчика, — выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости — уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;
- открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;
- соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.
- Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.
Штрафные санкции за невыполнение требований по защите ПДн в разных странах
1. Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей. Кроме того, невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1 242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения.
Следует учитывать, что штраф может быть наложен за каждый факт нарушения законодательных норм. Более того, недавно в Государственную Думу был внесен законопроект, подразумевающий введение двух новых составов правонарушений в области защиты ПДн — депутаты предлагают накладывать миллионные штрафы за невыполнение норм 242-ФЗ, т.е. за отказ от локализации баз ПДн россиян на территории РФ, а также за повторные нарушения требования по локализации.
2. Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн.
3. Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений.
Порядок проведения проверок Роскомнадзором
Роскомнадзор, отечественный уполномоченный государственный орган по защите прав субъектов ПДн, имеет право проводить проверки юридических лиц и индивидуальных предпринимателей на предмет выполнения ими положений Законодательства РФ в области защиты ПДн. При этом проверки проводятся как Центральным Аппаратом (план проверок и отчеты о деятельности публикуются на официальном сайте), так и Управлениями по Федеральным округам (например, на сайте Управления Роскомнадзора по ЦФО размещены планы деятельности и отчеты на последние 10 лет). Проверки Роскомнадзора регламентируются Постановлением Правительства РФ №146 от 13.02.2019 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». В соответствии с этим Постановлением проверки бывают как плановыми (практика показала, что регулятор проверяет в течение года группы компаний, объединенных по общему признаку, например, по сфере деятельности), так и внеплановыми: они могут проводится по поручению Президента, Правительства РФ или по решению Руководителя Роскомнадзора в рамках проведения прокурорской проверки, в случае неисполнения предыдущего предписания регулятора, а также в случае поступления жалоб от субъектов ПДн. При этом внеплановые проверки могут быть только выездными, а плановые могут быть как документарными, так и выездными. Регулятор при проверке изучает внутренние нормативные документы по обработке ПДн, осматривает места хранения ПДн, требует наглядно продемонстрировать обработку ПДн в информационных системах. Как правило, в случае выявления недостатков регулятор выносит предписание на устранение нарушений в заданные сроки, а штрафует за отсутствие правовых основ для обработки ПДн (например, за отсутствие задокументированных фактов дачи согласия субъектами ПДн), за несоответствие целей обработки и объема ПДн, за отсутствие необходимых уведомлений и политик на сайте оператора при условии сбора ПДн на нем.
Комментарии (15)
Kanut
10.10.2019 09:11В этом европейский подход отличается от российского, при котором государственные органы четко регламентируют меры защиты и условия их применения, не надеясь на благоразумие операторов — и, надо с сожалением признать, весьма обоснованно.
Проблема такого подхода в том, что если эти самые "регламентированные меры" станут не актуальными, то надо менять закон и это часто занимает месяцы, годы, а то и десятилетия. А в в ИТ прогресс идёт так быстро, что даже не исключён вариант что описанные в законе меры устаревают уже в момент выхода закона.
silvestr22
10.10.2019 10:17+1Реальный пример
Прихожу в стоматологию — записываюсь к врачу.
— Вот заполните этот документ на обработку персональных данных
— Без проблем, но я не согласен с обработкой моих персональных данных и отправкой их куда то за клинику
— Значит мы вам не будет оказывать услуги по лечению
— Как не будете? я же платно к вам пришел — вот больной зуб — вот деньги
— Всего хорошего
те человеку предлагают подписать документ — что он согласен с обработкой
Но если он не согласен — то мы его лечить не будем
Те постановка вопроса не в том что я согласен или не согласен с обработкой, а то что мы вас обслуживать не будем если вы не подпишите документ
выбора в итоге у человека нет
зачем же нам эта иллюзия выбора?MooNDeaR
10.10.2019 11:47Лайфхак: можно подписать такую бумагу, получить услуги, а потом выйти из кабинета и написать отзыв на своё согласие на обработку ПД :) И они обязаны будут уничтожить все данные о вас, а все бумажные версии выдать на руки.
RRakhmetov Автор
10.10.2019 20:31К слову, в пункте 42 Декларативной части GDPR прямо говорится, что согласие на обработку ПДн не может считаться данным добровольно, если у субъекта ПДн нет выбора или если он не может отказаться или отозвать своё согласие без ущерба для себя.
silvestr22
10.10.2019 21:03И что делать то в итоге? Вот на ресепшне сидит девочка которая регистрирует клиентов клиники, не о каких пунктах 42 она не знает. идти ругаться с начальством? А начальство скорей всего тоже не в курсе
Проблема в том что придя в другую клинику мы получим в точности то же самое
Те проблему не решить просто сменив организациюKanut
10.10.2019 21:15И что делать то в итоге? Вот на ресепшне сидит девочка которая регистрирует клиентов клиники, не о каких пунктах 42 она не знает. идти ругаться с начальством?
Смотря в какой стране вы находитесь и что конкретно за организация и ситуация. Если давать общий совет для ЕС, то вы всё подписываете, а потом сообщаете о ситуации своему регулятору GDPR.
Потом ещё можно обратиться к адвокату и дать ему урегулировать уничтожение ваших ПД и возмещение расходов и ущерба.
Если речь идёт именно о медицинском учереждении и у вас есть медицинская страховка, то первым делом звоните в страховку и описывайте им ситуацию.
Во многих странах ЕС есть госорганизации, которые контролируют медицину и конкретно врачей/больницы. Можно им сразу звонить.
Если у вас сильные боли или вообще неотложная ситуация, то можете даже в полицию звонить потому что вам в такой ситуации в принципе не имеют права отказать в медицинской помощи.
П. С. Обычно "девочка на ресепшене" сдаётся или сама зовёт начальство в тот момент когда вы при ней куда-то начинаете звонить и описывать ситуацию :)
silvestr22
11.10.2019 09:27Спасибо
Kanut
11.10.2019 09:35Пожалуйста. Правда надо уточнить что часть ваших ПД врач обязан сохранять по закону. То есть как минимум номер вашей медицинской страховки если у вас таковая имеется. Или например копию счёта с вашими именем/фамилией если вы платите наличными.
Но он не имеет права требовать от вас какие-то данные, коотрые ему не нужны по закону. Например номер вашего телефона ему не нужен.
Кроме того он не может требовать от вас подписать согласие на передачу ваших данных каким-то непонятным сторонним фирмам.
И если у врача есть только какой-то специальный формуляр где куча лишнего, то вы всегда можете от руки написать свою версию в которой только необходимые с точки зрения закона пункты и этого врачу должно хватить.
krylov_sn
10.10.2019 15:41С 20-21 года (скорее 21 судя по всему) данные о лечении (в т.ч. платном) будут отсылаться в единую базу, где будет видна вся история болезни пациента. Сейчас же зачем это подписывать в частной клинике не очень понятно
saipr
10.10.2019 11:41за отказ от локализации баз ПДн россиян на территории РФ
надо все же не штраф накладывать, а деятельность прекращать как минимум. Ведь речь фактически идет о назаконном вывозе ПДн.
MSC6502
И всё это великолепие благих помыслов разбивается о человеческий фактор, примеров за последнюю неделю было много.
Нужны совершенно иные подходы к данной проблеме.
RRakhmetov Автор
Вам и следующему комментатору:
Безусловно, законодательство и «классические» подходы могут отставать от вызовов времени и актуальных угроз, однако нам самим, как наиболее заинтересованным в безопасности своих персональных данных, также следует принимать определенные меры. Например, не следует забывать об элементарной цифровой гигиене, которая должна войти в обиход современного человека. Перефразировав фразу классика, «береги данные смолоду»: не сообщай избыточную личную информацию сайтам и сервисам, не выкладывай сканы документов в сеть, читай лицензионные соглашения, наконец. Только осознанное и бережное обращение с персональными данными поможет нам самостоятельно хотя бы минимизировать возможность утечки и/или некорректного использования. Кстати, как раз сегодня ФинЦЕРТ Банка России опубликовал отчет, в котором ясно прослеживается нарастающая тенденция использования злоумышленниками методов социальной инженерии, при этом ими зачастую используются общедоступные персональные данные (из соцсетей, сервисов по покупке/продаже, и т.д.). О методах социальной инженерии и способах противостояния психологическим манипуляциям злоумышленников дополнительно можно почитать, например, тут.