Ну что, коллеги, похоже 2022-й год вновь может стать годом персональных данных, если все задуманные инициативы наших законодателей будут реализованы. И хотя я когда-то написал, что больше не буду заниматься темой ПДн ввиду ее хаотического и совершенно непредсказуемого развития, но, видимо, придется сдуть пыль с этой темой и вновь начать за ней следить более пристально, чем я это делал вполглаза последнее время. В первую очередь интересна судьба внесенного вчера в Госдуму законопроекта №101234-8.
Какие основные моменты я в нем отметил:
- Добавили принцип экстерриториальности, то есть возможность контроля обработки ПДн россиян зарубежными компаниями. Не могу сказать, что это как-то затронет российские компании, а в условиях текущей геополитической ситуации иностранные компании будут не очень-то внимательны к запросам РКН (а право блокировать доступ к сайтам нарушителей российского законодательства у РКН были и раньше).
- Изменили особенности трансграничной передачи ПДн, а именно расширили само это понятие. Также за счет изменения термина «обработка ПДн» и исключения из передачи такой формы как доступ (предоставление доступа), теперь существенно ограничены действия, которые иностранные организации могут осуществлять с ПДн. Например, если раньше иностранцы (например, облачные провайдеры) могли получать доступ к ПДн в рамках трансграничной передачи, то теперь это не сработает. Также, если раньше российские компании могли передавать ПДн своих работников в иностранные представительства, не считая это трансграничной передачей, то теперь, за счет расширения определения трансгранички, это станет затруднительно. Но самое интересное, что теперь запрещено передавать ПДн в недружественные страны без получения предварительного разрешения РКН, которое будет выдано регулятором в тридцатидневный срок в порядке, который еще должен быть установлен Правительством. Если РКН посчитает, что передача может угрожать нравственности, здоровью, конституционному строю, обороне и безопасности государства, а также правам и законным интересам граждан, то передача будет запрещена. Мне кажется мы еще наедимся от этой нормы в случае ее принятия.
- Ввели полноценное описание обработчика ПДн (раньше такого определения не было), попутно добавив ссылки на него в ряд других статей, в которых ранее упоминались только операторы ПДн. Теперь обработчики ПДн должны выполнять практически тот же набор требований (по локализации, поддержанию актуальности, уведомлении об инцидентах и т.п.), как и оператор ПДн. Кроме того, поручение обработки ПДн теперь явно требует наличие договора между оператором и обработчиком.
- Теперь все нормативные акты касательно ПДн, разрабатываемые ЦБ, госорганами и т.п., должны обязательно согласовываться с Минцифрой и Роскомнадзором.
- Все операторы ПДн обязаны будут подключиться к ГосСОПКЕ. Все шесть миллионов. На снижение числа утечек это не повлияет никак, но проблем операторам добавит. А уж рынок СКЗИ поднимет на недосягаемую высоту — ведь подключение к ГосСОПКЕ у нас обеспечивается с помощью только сертифицированных СКЗИ. 6 миллиона СКЗИ?! Мечта, а не требование. ФСБ же передает полученные данные об инцидентах, связанных с ПДн, в РКН.
- Помимо взаимодействия с ГосСОПКОЙ, операторы ПДн (а почему еще и не обработчики?) обязаны о каждой утечке ПДн сообщать в РКН в течение 24-х часов. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о лицах, допустивших указанный доступ, а также о принятых мерах по устранению соответствующих последствий. И эта информация должна быть собрана за 24 часа!!! По любому инциденту, даже незначительному. Ага, сщаз 🙁 А зачем тогда надо подключаться к ГосСОПКЕ? Все инциденты должны храниться в базе, созданной и ведомой Роскомнадзором, доступ к которой будет по отдельным правилам предоставляться ФСБ (но им и так эти данные передаются через ГосСОПКУ).
- Изменили требования к согласию на обработку ПДн, добавив к условиям его получениям предметность и однозначность. Пока сложно сказать, чем это чревато, но боюсь, что это даст право РКН не соглашаться с полученными операторами согласиями. Он и так-то регулярно высказывал претензии к ним — то согласие универсальное, то целей в нем несколько указано, то список получателей не очерчен… А сейчас и вовсе будет ссылаться не неоднозначность и беспредметность.
- Добавили запрет на сбор биометрических ПДн несовершеннолетних или в тех случаях, когда собирать биометрию необязательно.
- Роскомнадзор должен разработать методику оценки вреда субъектам ПДн. Помню в 2012-м году инициативная группа предлагала РКН разработать такую методику, но регулятор отказался. 10 лет прошло и он передумал. Это хорошая инициатива (конечно, будет зависеть от содержания) — ее не хватает, например, при моделировании угроз. Также РКН должен будет разработать методику уничтожения ПДн.
- Изменили форму уведомления РКН о начале обработке ПДн. Теперь категории ПДн, категории субъектов, ПДн которых обрабатываются, правовое основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн должна указываться для каждой цели обработки ПДн. Размер уведомления (и это в условиях нехватки бумаги) увеличится многократно, а у РКН появится еще больше возможностей находить несоответствия между реальной обработкой ПДн и отправленным уведомлением.
Помимо данного законопроекта, текст которого уже готов, в ближайшее время будет подготовлен еще один законопроект о внесении изменений в КоАП в части оборотных штрафов. Пока сложно говорить о том, что в нем будет, но его поддерживает Минцифра, а также РКН, который 10 лет назад уже выходил с этой инициативой. Тогда предлагалось ввести штрафы в размере от 0,5 до 2% от совокупного дохода нарушителя за прошлый год. Предположу, что эта идея вновь получит вторую жизнь и ее попробуют реализовать через поправки в КоАП (ст.13.11).
Но если последняя инициатива пройдет все круги ада согласования и закон будет подписан Президентом, то лично мне интересен один вопрос — а кто и как будет определять размер штрафа? Ведь логично предположить, что утечка может произойти как причине несоблюдения оператором защитных мер, предусмотренных приказами 21 и 378 ФСТЭК и ФСБ соответственно, так и по причине инсайдера, который в рамках своих полномочий утянул и продал данные. Кто будет проводить расследование причин утечки? По КоАП предварительного следствия не предусмотрено — все будет решаться в рамках судебных заседаний. Но кто там будет выступать в качестве эксперта? РКН? Чур меня — они вообще никакого отношения к ИБ не имеют и специалистов там нет. ФСБ? Так они только за криптографию отвечают. ФСТЭК? Так у них тоже особо нет опыта проведения экспертиз и выдачи заключений о вине оператора ПДн. А самое главное, у них нет ресурсов для этого. И как тогда судья должна будет принимать решение о штрафе? Опираясь на мнение Роскомнадзора или прокурора? А самое главное, я не очень верю, что все эти инициативы хоть как-то повлияют на снижение числа инцидентов с ПДн 🙁
На мой взгляд, это одно из самых крупных изменений, которые вносятся в законодательство по ПДн за последние 10 лет, которое, в случае принятия, а учитывая авторов сомневаться в этом не стоит, устроит серьезный переполох как на рынке ПДн, так и на рынке ИБ. Предвижу определенный рост интереса к консалтинговым проектам по ПДн и их технической защите.
только ушел из госов от этого дурдома…а теперь они и коммерсам строят ж… видно надо совсем уходить из ИБ. Давно пора.
Ну коммерсы, если КИИ, то живут в таком же режиме. Теперь его хотят распространить на всех без исключения
Возможно…в чем я лично сильно сомневаюсь, по крайней мере в своем регионе…гдето есть(где денег до…энергетика, роснефть, газпром)…а где-то конь не валялся…ищут по пять лет ИБшников за 20 т.руб.
Это же другое. Одно дело требования, другое дело — специалисты для их выполнения. Первое всегда было проще реализовать, чем второе
А это иначе работает, главное заявку подать, а потом отчитываться выше, что мол — мы заявку подали, а никого нет, поэтому мы на внешнем обеспечении, а вот к нам никого нет…..
Всё это просто галочка.
В моем регионе 50 на 50…где есть деньги там ИБ набирают итд…а вот середнячки даже с КИИ в большинстве своем конь не валялся.
Это везде так. Когда закон писали, предлагали провести границу, ниже которой бизнес бы не считался СуКИИ. Но нет
оговорочка?))))))))))
Где? СуКИИ? Так это сокращении от «субъекты КИИ»
Ну какие 6 миллионов операторов ПДн? Сами же писали статью про недоверие и критическое мышление. И тут такое…
В реестре РКН зарегистрировано чуть меньше 440 тысяч операторов персональных данных.
https://pd.rkn.gov.ru/operators-registry/operators-list/
Сколько-то мертвые души, сколько-то да, не регистрировались как операторы, но по сути ими являются. Но не шесть же миллионов.
С другой стороны и 440 тысяч цифра для ГосСОПКИ невероятная и неподъемная в ближайшем будущем. Пусть даже какую то часть возьмут на себя провайдеры услуг по ИБ, выступая в качестве агрегаторов, фильтров и ретрансляторов.
Это же не мои цифры — эти цифры приводит сенатор, ссылаясь на РКН. Реестр операторов — это вообще ни о чем. Туда компании пишутся добровольно и тех же ИП там попросту нет, в то время как любой ИП — это тоже оператор ПДн. В ЕГРЮЛ/ЕГРИП на круг получалось раньше 5 миллионов. Так что цифры в 6 вполне могла быть реальной, хотя меня и удивила тоже
Слова сенатора, процитированные в статье непрофильного СМИ- это именно слова, не больше и не меньше. Реестр РКН в отличии от этого более-менее достоверные цифры. Считать оператором ПДн каждого ИП Иванова И.И., торгующего овощами на рынке или таксующего на своем солярисе, совсем неправильно.
Может считать ИП оператором и неправильно, но он таковым является по определению в законе
DDos ГосСОПКИ может произойти и опять запросы о выделении финансов, т.к. это оборудование не потянуло.
Хотя и может потянет.
Очень похоже на создание великого китайского интернета.
Ну ГосСОПКА не стоит же в разрыв
В 187-ФЗ есть очень интересное трактование, которое можно использовать как двучтение закона, а точнее следующее:
«8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети»
Так вот, указывается, что «принадлежат» ИС, а если они не принадлежат, а используются как услуга или ещё как, то получается, что по 187 они КИИ и не КИИ.
Вот такая дилемма.
Как услуга — это договор аренды