Журнал "Information Security/ Информационная безопасность" #1, 2021

Изменения в законе о персональных данных В преддверии нового года был опуб- ликован Федеральный закон "О внесе- нии изменений в Федеральный закон "О персональных данных" от 30.12.2020 № 519-ФЗ 1 (далее – ФЗ № 519), меняю- щий понятийный аппарат Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ (далее – ФЗ № 152). С 1 марта 2021 г. утрачивает силу дефиниция "персональные данные (далее – ПДн), сделанные общедоступ- ными субъектом ПДн". Вместо упомяну- тых ранее ПДн вводится понятие "ПДн, разрешенные субъектом ПДн для рас- пространения". ПДн, разрешенные субъ- ектом ПДн для распространения, – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи соответствующего согласия. При этом в ФЗ № 152 все еще присут- ствует норма об общедоступных источ- никах ПДн, которые, в частности, упо- минаются в постановлении Правитель- ства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите пер- сональных данных при их обработке в информационных системах персональ- ных данных". Вопрос, как классифици- ровать (определять уровень защищен- ности) информационные системы, обра- батывающие ПДн, разрешенные субъ- ектом ПДн для распространения, пока остается открытым. К основным особенностям обработки ПДн, разрешенных субъектом ПДн для распространения, вводимых ФЗ № 519, относятся: 1. Согласие на обработку ПДн, разре- шенных субъектом ПДн для распростра- нения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Требования к содержанию согласия будут определены Роскомнадзором. Согласие на обработку ПДн, разрешен- ных для распространения, может быть предоставлено непосредственно опера- тору, а с 01.07.2021 также с использова- нием специализированной информацион- ной системы Роскомнадзора. 2. Установлено явное требование по "активному" предоставлению согласия на обработку ПДн субъектом ПДн, то есть молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения. 3. Субъект ПДн вправе определить в согласии категории и перечень ПДн, для обработки которых устанавливаются условия и запреты, а также перечень устанавливаемых условий и запретов. Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распростране- нию и (или) предоставлению ПДн неогра- ниченному или определенному кругу лиц соответственно. Изменения, вводимые ФЗ № 519, как отмечается экспертным сообществом, могут повлечь за собой неоднозначность трактования требований, а также появле- ние возможных противоречий в исполне- нии требований. В частности, если из согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не определил запреты и условия на обработку ПДн, такие ПДн обрабатываются оператором, которому они предоставлены субъектом ПДн, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц. То есть некор- ректно составленное согласие, направ- ленное на разрешение субъектом рас- пространения ПДн, может это распро- странение и ограничить. Согласие на обработку ПДн, разрешенных для распространения Как и следовало ожидать, 27 января 2021 г. Роскомнадзор представил проект приказа "Об установлении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения" 2 (далее – проект при- каза). Согласно проекту приказа упомянутое ранее согласие должно включать в себя: l фамилию, имя, отчество субъекта ПДн и его контактную информацию; l наименование или фамилию, имя, отчество и адрес оператора, получаю- щего согласие субъекта ПДн; l цель (цели) обработки ПДн; l категории и перечень ПДн, на обра- ботку которых дается согласие; l категории и перечень ПДн, для обра- ботки которых субъект ПДн устанавливает условия и запреты, а также перечень уста- навливаемых условий и запретов; l срок, в течение которого действует согласие; l сведения об информационных ресур- сах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн. Стоит обратить внимание на то, что проект приказа вводит некоторую дета- лизацию понятия – категории ПДн, а также уточняет, какие ПДн относятся к той или иной категории. По проекту при- каза выделяются следующие категории ПДн: общие ПДн, специальные категории ПДн и биометрические ПДн. Таким обра- зом, по проекту приказа: l общие Пдн: фамилия, имя, отчество (при наличии), год, месяц, дата рожде- ния, место рождения, адрес, семейное положение, социальное положение, иму- щественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту ПДн; l специальные категории Пдн: расовая, национальная принадлежность, полити- ческие взгляды, религиозные или фило- софские убеждения, состояния здоровья, интимной жизни, сведения о судимости; l биометрические Пдн: ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фото- графическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения. 14 • ПРАВО И НОРМАТИВЫ Январь-2021 январском обзоре изменений законодательства 2021 г. рассмотрим изменения от регуляторов, которые были опубликованы как в канун нового года, так и в его начале. Поговорим о процессах обработки персональных данных, о нормотворческой деятельности ФСБ России и требованиях по безопасности для финансовых платформ. В Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности 1 https://rg.ru/2021/01/11/personalnie-dannie-dok.html 2 https://regulation.gov.ru/Projects/List#npa=112660