Главная страница Новости Отчет о посещении международной конференции "Защита персональных данных"

Отчет о посещении международной конференции "Защита персональных данных"

9 ноября 2017 года в Москве состоялась 8-я ежегодная международная конференция «Защита персональных данных», посвященная широкому спектру вопросов в области защиты прав субъектов персональных данных, законодательных инициатив и практических кейсов обеспечения правомерной обработки и безопасности данных физических лиц.

Основной темой конференции стали так называемые «Большие пользовательские данные» (БПД, Big Data) – массив неструктурированных данных, полученных из различных источников, которые относятся к конкретному физическому лицу и на основании совокупности которых можно это лицо идентифицировать. Также значительное внимание было уделено вопросам, связанным со скорым вступлением в силу нового Европейского регламента по защите данных (General Data Protection Regulation, GDPR).

Конференцию открыл руководитель Роскомнадзора Александр Жаров, который кратко обрисовал основные тезисы. По его словам, регулирование БПД будет осуществляться на основе отдельной законодательной базы, которая сейчас находится в разработке. Что касается GDPR, на текущий момент, по мнению Роскомнадзора, GDPR на компании, работающие в России, не распространяется, т.к они подчиняются исключительно законодательству РФ. Также А. Жаров затронул проблемы биометрической идентификации, в частности необходимость законодательной проработки вопросов биометрической идентификации несовершеннолетних до достижения ими полной дееспособности.

С приветственными словами выступили представители Государственной думы, Совета Федерации, Минкомсвязи и другие. Подчеркивалась важность актуальности вопросов защиты персональных данных в контексте Интернета вещей, государственной программы «Цифровая экономика» и т.д.

1.Ю. Е. Контемиров, начальник управления Роскомнадзора, рассказал о практике правоприменения новой редакции ст. 13.11 КоАП. Среди основных тезисов можно отметить следующие:

• По состоянию на 1 ноября 2017 года Роскомнадзором по результатам проверок операторов персональных данных оформлено 39 протоколов об административных правонарушениях по новой редакции статьи 13.11 КоАП. 13 операторов персональных данных были привлечены к административной ответственности.
• Большинство выявленных нарушений (20 случаев) подпадают под часть 1 ст.13.11 КоАП – «Обработка персональных данных в целях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных». Среди наиболее распространенных нарушений, Роскомнадзор в частности отметил случаи обработки персональных данных работников и их родственников в объеме, превышающем требования трудового законодательства, а также неправомерную обработку сведений о судимости.
• По мнению Роскомнадзора, сведения о наличии или отсутствии судимости без указания подробной информации не следует классифицировать как обработку сведений о судимости (т.е специальной категории персональных данных).
• В согласии на обработку персональных данных работников организации в письменной форме должна быть указана только одна цель обработки персональных данных. Если целей много – на каждую цель необходимо получать отдельное письменное согласие.
• При осуществлении неавтоматизированной обработки персональных данных должен быть в обязательном порядке разработан перечень лиц, допущенных к такой обработке, а также определены места хранения документальных носителей персональных данных. Неисполнение данных требований в случае возможной проверки подпадает под часть 6 ст.13.11КоАП.
• В соответствии с последними европейскими тенденциями в области обеспечения безопасности личных данных, Роскомнадзор признает файлы cookies, IP-адреса и иную информацию технического характера, относящуюся к анонимным пользователям веб-сайтов персональными данными, следовательно, необходимо получать согласия пользователей сайтов на обработку их персональных данных. Такое согласие наиболее целесообразно получать путем принятия пользователем сайта соглашения, являющегося, в соответствии со ст. 437 ГК РФ, публичной офертой. В соглашении должны быть явным образом указаны условия обработки персональных данных пользователя, а для акцепта оферты необходимо разместить баннер с чек-боксом или кнопкой для закрытия, подтверждающими согласие с условиями соглашения.
• В частности, если обработка персональных данных пользователей сайта подразумевает трансграничную передачу данных в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных, (например, в США при размещении на сайте счетчиков веб-аналитики Googlе Analytics), эти условия необходимо также зафиксировать в пользовательском соглашении. Таким образом, в соответствии с п.4 ч.4 ст.12 152-ФЗ факт акцепта соглашения будет являться фактом заключения и исполнения договора, стороной которого является субъект персональных данных и не потребует получения от пользователей сайта отдельных письменных согласий на трансграничную передачу их персональных данных.

Важно учитывать, что мнение Роскомнадзора в контексте трактовки требований законодательства о персональных данных и мнения судебных инстанций могут различаться.

• В ходе проверок фиксируется только факт наличия нарушения без учета количества нарушений одного типа. Иными словами, если при проверке в организации будет выявлена обработка персональных данных десяти субъектов с одинаковыми нарушениями, организации будет выписан общий штраф в единственном экземпляре. 
  
• Разработка универсальной методики оценки вреда субъекту персональных данных не планируется. Каждый оператор должен проводить такую оценку самостоятельно.

2.С. Мигранов, представитель Министерства связи и массовых коммуникаций (Минкомсвязи России) рассказал о планах ведомства в области разработки нормативных правовых актов и совместной работы с Роскомнадзором. Основные тезисы:

• Планируется к разработке закон о регулировании «больших пользовательских данных» (Big Data), пока данный закон не принят, такие данные классифицируются как персональные и их обработка регулируется 152-ФЗ. Роскомнадзор планирует разработку соответствующих разъяснений.
• Внесение поправок в закон «О персональных данных» в части указания возможности получения согласия на обработку ПДн в форме конклюдентных действий не планируется. В то же время и Роскомнадзор и Минкомсвязи признают легитимность данного вида согласия.
• Несмотря на то, что Приказ об утверждении административного регламента ведения реестра операторов персональных данных утратил силу, ведение реестра будет осуществляться в прежнем режиме. Это связано с тем, что ведение реестра не является государственной услугой, соответственно необходимость утверждения административного регламента отсутствует.
• В ближайшее время будет принято Постановление Правительства о контроле и надзоре за обработкой персональных данных, в соответствии с которым будут закреплены новые полномочия Роскомнадзора в части проведения проверок операторов персональных данных, в частности возможность самостоятельно возбуждать административные дела в отношении операторов персональных данных без согласования с прокуратурой.

3.Е. Торбенко, представитель ФСТЭК России, рассказала о практике ведомства в области обеспечения технической защиты персональных данных. Основные тезисы:

• ФСТЭК России рассмотрено более 100 актов, определяющих угрозы безопасности персональных данных в рамках требований частей 5 и 6 ст.19 152-ФЗ (модели угроз), 60% из них возвращено операторам на доработку.
• В случае размещения информационных систем персональных данных на территории стороннего дата-центра или облачного провайдера для выполнения требований 152-ФЗ необходимо наличие договора с провайдером. В договоре в обязательном порядке должны быть закреплены обязанности провайдера в отношении обеспечения безопасности обрабатываемых персональных данных для выбранного уровня защищенности, а также указаны меры, предусмотренные статьей 19 152-ФЗ. Данное условие является необходимым и достаточным для оператора персональных данных.
• При моделировании угроз безопасности персональных данных допускается по-прежнему руководствоваться документами 2008 года (Базовой моделью угроз и Методикой определения актуальных угроз). В дополнение к базовым угрозам, обозначенным в вышеуказанных документах рекомендуется анализировать актуальность угроз из банка данных угроз (БДУ) ФСТЭК. При определении структуры модели угроз допускается руководствоваться требованиями документа 2015 года «Методика определения угроз безопасности информации в информационных системах (проект)». Разработана и планируется к опубликованию новая методика моделирования угроз.
• Оценку соответствия средств защиты информации допускается проводить любым способом, указанным в законе 184-ФЗ «О техническом регулировании», в том числе, в форме декларирования соответствия, но, в случае наличия у оператора соответствующей квалификации и готовности подтвердить эту квалификацию;
• При оказании одним юридическим лицом услуг по технической защите информации (в т.ч защите персональных данных) другим юридическим лицам требуется лицензия ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ), а в случае применения шифрования – лицензия ФСБ.

4.А.Бодров, представитель ФСБ России, рассказал о практике ведомства в области обеспечения криптографической защиты персональных данных, а также практике проверок в данной области. Основные тезисы:

• Оценку соответствия криптографических средств защиты информации (СКЗИ) допустимо проводить только в форме сертификации в системе ФСБ. Любая другая форма оценки соответствия в отношении СКЗИ является нелегитимной.
• В случае передачи персональных данных по каналам связи общего пользования необходимо применять сертифицированные СКЗИ. Применение компенсирующих мер либо признание неактуальности угроз перехвата персональных данных в каналах связи не допускается без наличия соответствующего обоснования.
• При определении типа актуальных угроз, оператор должен понимать, что угрозы наличия недекларированных возможностей в системном и прикладном ПО существуют всегда. Каждый оператор самостоятельно определяет актуальность таких угроз, исходя из актуальности тех или иных категорий нарушителей.
• В случае проверки ФСБ факт отсутствия у оператора модели угроз и модели нарушителя классифицируется как административное правонарушение.
• Среди наиболее частых нарушений при проверках ФСБ отмечает следующие:
• Используемые СКЗИ имеют сертификат с истёкшим сроком действия;
• Сотрудники оператора, работающие с СКЗИ, не обладают достаточным уровнем подготовки;
• Модель угроз и модель нарушителя не соответствуют реальной ситуации в организации, либо отсутствуют.
• Для моделирования угроз, подлежащих нейтрализации с помощью СКЗИ рекомендуется использовать документ ФСБ России «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденный в 2015 году.
• ФСБ отмечает положительную тенденцию в области проводимых проверок. В частности, за третий квартал 2017 г. протоколы об административных нарушениях составлялись: в отношении органов образования – в 5% случаев, в отношении органов здравоохранения - в 20%, что на порядок меньше показателей прошлых периодов.

Следует отметить, что позиции ФСТЭК и ФСБ России применимы в первую очередь к операторам персональных данных, являющимися государственными или муниципальными органами.

Ведущий консультант отдела информационной безопасности