Защита персональных данных: закон № 152, новые требования и открытые вопросы

В 1990-х персональные данные граждан продавали повсюду – диски лежали на полках в ларьках и переходах. Информацию о сотрудниках в организациях сливали коллеги. Остановить их было сложно – о защите персональных данных тогда никто не задумывался. В том числе и государство.

Все изменилось в 2006 году, когда в России появился 152-ФЗ «О персональных данных». В марте 2023-го в закон внесли сразу несколько поправок. Какие из них особенно важны и почему, рассказали эксперты Cyber Media. Они же пояснили: обновленный закон хоть и суров, но по-прежнему не отвечает на многие вопросы ИБ-специалистов.

Персональные данные в России: кое-что из истории

Впервые понятие «персональные данные» (ПД) попало в федеральное правовое поле в 1997 году. Оно прозвучало в указе Президента «Об утверждении перечня сведений конфиденциального характера». Однако в документе не сообщалось, что такое обработка персональных данных и как обеспечить их защиту.

Важные уточнения появились лишь в 2001 году, когда Госдума приняла новый Трудовой кодекс РФ. В него включили дополнительную главу, где наконец-то было указано, что обработка персональных данных – это получение, хранение, комбинирование, передача или любое другое их использование.

И наконец, 27 июля 2006 года в России приняли 152-ФЗ «О персональных данных». Долгожданный закон коснулся всех организаций и ИП в стране. К тому времени выяснилось, что с персональными данными взаимодействуют все – как при оформлении граждан на работу, так и при заключении контрактов, обслуживании клиентов и т.д.

152-ФЗ: коротко о главном

Закон содержит принципы работы с персональными данными. Их нужно обязательно исполнять всем операторам ПД – лицам, которые занимаются сбором, хранением и обработкой такой информации. Государство от них требует:

• работать с персональными данными в соответствии с порядком, который прописан законом;
• собирать, обрабатывать и применять такую информацию только с определенной целью;
• собирать только те данные, которые соответствуют выполнению заявленной цели;
• хранить сведения столько времени, сколько указывает закон, договор с владельцем ПД или в соответствии с целью сбора информации;
• выполнять три правила по отношению к данным: актуальность, точность и достаточность.

Если обработка персональной информации идет не по закону, то это считается административным нарушением и карается ст. 13.11 КоАП. Как соблюдаются требования на местах, контролирует Роскомнадзор. Он же проводит проверки по собственной инициативе или после жалоб от граждан.

Также закон уточняет, что можно использовать как автоматизированную обработку персональных данных, так и неавтоматизированную. Более того, оператор ПД имеет право делегировать эту задачу кому-то другому. Вот только ответственность, если персональные данные похитят или обнародуют, все равно несет только он.

Что относят к персональным данным

Юристы уточняют, что персональными данными считаются все сведения, которые позволяют идентифицировать человека (субъекта ПД), составить его портрет или предположить, что речь идет о конкретном гражданине.

Обычно к такой информации относят фамилию, имя и отчество, сведения о дате и месте рождения, должность, доход и профессию, данные из документов (паспорт, ИНН, СНИЛС), имущественное и семейное положение, биометрию и т.д. Согласно Постановлению Правительства РФ № 1197 от 2019 года, в список также входят контактные данные – номер телефона и email.

Если организация собирает, хранит и обрабатывает такую информацию о человеке, то закон считает ее оператором персональных данных. Им же может быть индивидуальный предприниматель и даже физическое лицо. Главное требование к нему, как и к юрлицу, – обработку персональных данных человека нужно вести только с его согласия.

Что изменилось в 2023 году

В отличие от других федеральных законов, ФЗ-152 обновлялся редко. Последние изменения приняли в Госдуме осенью 2022 года. Параллельно Роскомнадзор готовил свои приказы. В итоге все изменения вступили в силу 1 марта 2023-го. В список вошли как долгожданные поправки, так и новые – политически актуальные.

Артур Батуллин

Заместитель директора Цифроматики

По новым требованиям операторы, которые ведут трансграничную передачу персональных данных, должны уведомить Роскомнадзор о своих намерениях. Причем, сделать это нужно до начала действий.

Роскомнадзор вправе принять решение о запрете или ограничении передачи данных в страны, не обеспечивающих адекватный уровень защиты прав субъектов ПД. Это даст дополнительные гарантии безопасности. А также будет способствовать обеспечению прозрачности и контроля при передаче персональных данных за пределы Российской Федерации.

Также 1 марта 2023 года вступил в силу приказ Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных». Документ ответил на многие вопросы ИБ-специалистов и юристов. В частности, теперь стало ясно, что факт уничтожения персональных данных подтверждается документами.

Евгений Царев

Управляющий RTM Group

Если используются средства автоматизации или смешанной обработки, то подтверждением являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных. 

Если не удается выгрузить из журнала какие-либо сведения, то подтверждением будут оба способа, независимо от способа обработки данных. Если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.

Рекомендуем операторам ПД издать приказ о порядке уничтожения персональных данных и закрепить в нем формы документов.

Эксперты уверяют: новый порядок уничтожения был нужен всем организациям. Даже самые законопослушные организации сегодня часто хранят персональные данные после обработки. Чем их больше копится в организации, тем меньше внимания ИБ-специалисты затем могут им уделять.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Важные изменения также касаются оценки вреда субъектам персональных данных, которые происходят из-за нарушений 152-ФЗ. Это очень важный эволюционный шаг, когда от «безопасности бумажной» (выполнение требований регуляторов) и «безопасности страха» (когда все делается лишь бы избежать штрафов) рынок ИБ переходит к безопасности с точки зрения оценки рисков и последствий недопустимых событий.

Требования к оценке возможного вреда описываются в Приказе №178 Роскомнадзора. Документ также вступил в силу 1 марта 2023-го. В нем регулятор указывает три степени возможного вреда: низкую – если информация о физическом лице собрана из открытых источников, среднюю – когда персональные данные публикуются на сайте оператора ПД, обработка ведется не с указанной ранее целью и т.д., а также высокую – нарушения касаются биометрических данных или информации о несовершеннолетних.

Карэн Багдасарян

Консультант Центра экспертизы в компании R-Vision

Такая оценка вреда позволит организациям определить критичность нарушения закона и, опираясь на это, принять соответствующие меры для минимизации возникновения нарушений. Кроме того, она поможет операторам ПД понимать, какие данные подлежат особой защите, и принимать соответствующие меры для обеспечения безопасности этих данных.

О чем молчит 152-ФЗ

Главный открытый вопрос для юристов сегодня – что именно считать персональными данными. Пока ни закон, ни другие нормативные правовые акты не дают однозначного ответа. 

Оксана Романова

Главный аналитик компании Pointlane

Четкого перечня персональных данных пока нет. Определение в законодательстве указывает только на то, что можно к ним отнести. Однако конкретный перечень обрабатываемых персональных данных по-прежнему определяет сам оператор ПД. И делает он это исходя из практики и субъективного мнения.

Тем не менее, сейчас Роскомнадзор работает над матрицей ПД. В ней будет отражено, какую именно совокупность данных необходимо относить к персональным данным.

Параллельно, по ее словам, регулятор уже несколько лет работает над другим документом – нормативным актом, регламентирующим обезличивание персональных данных. Сама процедура обезличивания и обработка обезличенных персональных данных коммерческими компаниями вызывает больше всего вопросов на сегодняшний день

Роскомнадзору также скоро придется ответить на вопросы, которые появились у экспертов в марте 2023-го. Многие трактуют изменения в законодательстве по-своему. Некоторые сомнения пока вызывает история с уничтожением персональных данных, а точнее – оформление Акта уничтожения персональных данных с учетом выгрузки электронного журнала уничтоженных персональных данных.

Диана Филипенко

Эксперт технологической практики ТеДо

По новым требованиям операторы ПД на основе закрытого перечня факторов определяют степень вреда субъектам ПД и формируют акт оценки. Однако документ оставляет открытым порядок проведения такой оценки (для каждого из процессов обработки данных / для каждой информационной системы персональных данных / иное).

Также пока под вопросом остаются дальнейшие действия оператора ПД, которые он выполняет исходя из выбранной степени вреда. Нет и порядка снижения вреда в случае определения высокой степени.

Непонятно экспертам пока и то, что представляет собой электронный журнал об уничтожении персональных данных и как его представлять при проверках.

Также экспертов смущают штрафы, которые оператор ПД платит при нарушении законодательства. Согласно ст. 13.11 КоАП, для организации это суммы от 10 тыс. рублей. Максимальный штраф назначают при повторном нарушении, он составляет 500 тысяч. 

Евгений Царев

Управляющий RTM Group

Пока для многих предпринимателей оплата штрафа за нарушение законодательства о персональных данных обходится дешевле, чем его исполнение. И если в части утечек законодатель уже пришел к введению оборотных штрафов, то по остальным нарушениям штрафы продолжают оставаться мизерными.

В лучшем случае операторы размещают на сайте политику конфиденциальности, который не всегда соответствует требованиям, предъявляемым к этому документу. Но в условиях отсутствия мер, необходимых для реальной защиты персональных данных – разграничения прав доступа к ПД, режима хранения ПД в организации и т.д. – указанный документ на сайте является лишь декларацией.

Формальными на деле остаются многие требования по обработке персональных данных в России, считают собеседники Cyber Media. Причем причины кроются не только в мизерных штрафах и законодательстве.

Мария Плешкова

Частнопрактикующий юрист

В целом пока нет прозрачных правил. Об этом свидетельствуют частые громкие утечки персональных данных, в том числе и из госорганов.

Думаю, что дело тут не в законодательстве. Дело в том, что общество не осознало важность защиты персональных данных. Плюс законы у нас пишут так, что их может читать только человек с высшим юридическим образованием.

Эксперты поясняют: отличий в законодательстве РФ и других стран действительно много. Зачастую они касаются даже не подачи информации, а ключевых моментов.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Если сравнивать ФЗ № 152 с европейским аналогом – GDPR, то в нашем законе не регламентирован такой аспект как «право на компенсацию», когда субъект ПД имеет право получить компенсацию в случае утечки его персональных данных по вине оператора.

Также, по его словам, в 152-ФЗ не описывается ситуация, при которой человек может не предоставлять свои персональные данные, что становится основанием для отказа в предоставлении услуги. Неизвестно, как должны вести себя стороны в такой ситуации, например, в банке или гостинице.

Выводы

Требований к работе с персональными данными в России становится больше. Вместе с тем растет количество вопросов к законодателям. И хотя регулятор старается ответить на них, многие пробелы остаются незакрытыми. Все это говорит об одном – риск совершить ошибку теперь еще больше, чем был раньше. 

Игорь Гусев

Ведущий инженер «Газинформсервис»

Сегодня организациям и ИП следует более тщательно подходить к организации защиты ПД. Другой вариант – не заниматься их обработкой, что в современных реалиях практически исключено.

Теперь, по его словам, чтобы гарантированно обезопасить себя от санкций за нарушения в части обработки персональных данных, придется обращаться за помощью. Как минимум, можно обойтись консультацией у профессионалов в ИБ, как максимум – принять работника с соответствующей квалификацией в штат.