Вебинар на тему «Реформа 152-ФЗ «О персональных данных» от компании «ДиалогНаука» прошел 21 ноября. Илья Романов, руководитель отдела консалтинга, провел разбор частных проблем, с которыми сталкиваются пользователи персональных данных, и рассказал о способах преодоления сложностей, связанных с реформой 152-ФЗ.
Компания «ДиалогНаука» была создана в 1992 г. СП «Диалог» и вычислительным центром РАН. Первые продукты, с которыми работала компании, – ревизор ADinf, антивирусы DR.WEB и др. Сейчас компания является комплексным интегратором в области информационной безопасности, а также интегратором консалтинга и поставщиком средств защиты информации ведущих вендоров в области ИБ. Она занимается внедрением, сопровождением, аттестацией, аудитом в промышленности, энергетике, государственном секторе, финансовой сфере и т. д.
Илья Романов, в частности, отметил, что при подготовке вебинара был учтен опыт проведения различных мероприятий операторами персональных данных и регуляторами «Роскомнадзора». В настоящее время действует мораторий на проверки персональных данных (ПДн). В этом году плановые проверки РКН проводились, но только в отношении объектов, подверженных высокой степени риска. Внеплановые проверки могут проводиться по указанию Правительства, прокуратуры, в экстренных случаях, а также по запросу «Роскомнадзора». В федеральном законе №152 есть пункт о том, что «РКН имеет полномочия уточнить у оператора персональных данных, запросить сведения по обработке и защите персональных данных. Операторы должны предоставить информацию в течение десяти дней. Основной причиной проверки со стороны «Роскомнадзора» может стать запрос от субъекта с какой-либо жалобой, а также от территориальных управлений, не относящихся непосредственно к оператору персональных данных. Даже при условии, что субъект находится и проживает на территории соседнего территориального округа, территориальное управление РКН вправе отправить к вам запрос. В подобных ситуациях Илья Романов советует наладить контакт с пользователями и не доводить дело до проверок.
Риски ПДн и подводные камни
Илья Романов озвучил проблемы, с которыми приходится сталкиваться операторам персональных данных при реализации требований 152-ФЗ. Обусловлены они прежде всего изменениями в политике обработки ПДн. В частности, речь идет о согласии на обработку cookie-файлов с использованием сайтов: метрические программы, типовые формы и т. д. Оператор обязан издать политику в отношении обработки ПДн, локальные акты по вопросам ПДн, локальные акты, направленные на предотвращение, выявление и устранение нарушений законодательства РФ. Илья Романов подробно рассмотрел требования к локальным актам. Политика и локальный акт для каждой цели обработки персональных данных должны содержать ряд сведений, детализирующих обработку ПДН: сроки обработки и хранения, категории субъектов ПДн, порядок уничтожения и т. д. Эти сведения должны быть как во внутренних локальных документах операторов, так и в политике по обработке персональных данных, которые оператор обязан сделать общедоступными. Политика оператора должна быть доступна на всех страницах интернет-сайта, которые используются для сбора ПДн.
Еще одна проблема – изменения работы согласия на сайте. При сборе технической информации о пользователе и cookie-файлов стоит учитывать, что жестких требований у «Роскомнадзора» нет, однако рекомендуется использовать всплывающее окно. Обработка должна быть учтена в политике, необходимо отразить использование сторонних метрических программ. При работе с иностранными метрическими программами следует помнить, что иностранные программы также относятся к трансграничной передаче ПДн. Информацию об иностранном сайте нужно отразить и в согласии, и в уведомлении РКН. При обработке данных пользователей, в согласии рекомендуется указывать наименование оператора, цель обработки, сведения о составе ПДн, передаче третьим лицам и указывать ссылку на политику.
Рекомендации
В 2022 г. вышел приказ «Роскомнадзора» №178, в нем определены методы оценки степени вреда, который может быть причинен субъекту персональных данных при нарушении 152-ФЗ – высокая, средняя и низкая. Операторы должны самостоятельно проводить оценку ПДн на своем сайте. Были приведены примеры критериев: обработка биометрии, или спецкатегорий, обработка ПДн несовершеннолетних, обезличивание с целью скоринга и оказания услуг по прогнозированию и т.д. Например, если биометрические данные используются для пропускного режима, определить степень вреда невозможно, поскольку нет законодательных актов, предусматривающих такой способ обработки данных. Если сбор информации осуществляется через сайты, находящиеся за пределами РФ, и обработка ПДн выполняется в дополнительных целях, отличных от первоначальных целей сбора, то это уже нарушение 152-ФЗ. На степень возможного вреда не влияют объем обрабатываемых сведений, оценка последствий в случае возможных инцидентов с ПДн, реализуемые меры по защите. К сожалению, на данный момент нормативные документы не объясняют, как учитывать степень вреда.
Итоги вебинара
В соответствии с принятыми изменениями сократилось количество субъектов и случаев, освобождающихся от необходимости в обработке персональных данных. В частности, исключениями больше не являются обработка ПДн в соответствии с трудовым законодательством и для исполнения трудового договора. Уведомления не требуются при обработке ПДн в ГИС, созданных в целях защиты безопасности государства и общественного порядка, при обработке данных без использования средств автоматизации, а также при обработке данных согласно законодательству о транспортной безопасности. В случае трансграничной передачи нельзя подать уведомления об осуществлении передачи ПДн. Перед началом передачи необходимо подать уведомление только о планируемой ПДн или о намерении либо если поданные ранее сведения о трансграничной передаче изменились. «Роскомнадзор», рассмотрев уведомления, может ограничить или запретить трансграничную передачу. Исключением, когда уведомление подавать не нужно, может быть почтовая связь. Иногда «Роскомнадзор» не может запретить или ограничить трансграничную передачу, например, при использовании платежных систем.
