Журнал "Information Security/ Информационная безопасность" #2, 2018

Учитывая высокое значение информации в современной предпринимательской деятельности, наличие обширных баз данных клиентов, в особенности для компаний, поставляющих товары/оказывающих услуги конечным потребителям, является неотъемлемой частью развития бизнеса. В связи с этим на рынке появились отдельные компании, занимающиеся сбором и продажей баз данных клиентов. Зачастую сбор такой информации осуществляется незаконным образом: взлом баз данных других компаний; покупка баз у работников организаций. По общему правилу, обработка персональных данных должна осуществляться на одном из законных оснований, предусмот- ренных Федеральным законом № 152-ФЗ "О персональных данных", например на основании согласия субъекта персо- нальных данных, исполнения обязательств оператора персо- нальных данных или в ходе исполнения договора. Передача персональных данных является одним из способов обработки, и такая передача также должна осуществляться на законной и справедливой основе. Таким образом, с юридиче- ской точки зрения передача персональных данных может осу- ществляться для достижения законных целей обработки данных, для которых они собирались. К примеру, судебной практике известны случаи, когда передача персональных дан- ных банком коллекторскому агентству признавалась законной, учитывая, что такая передача предусматривалась договором банка с клиентом. Практика Роскомнадзора всегда предусматривала, что даже в случае наличия в согласии возможности передачи персо- нальных данных третьим лицам такая формулировка не должна быть чрезмерно широкой, в противном случае согласие не соответствует признаку информированности. Эту тенденцию продолжила судебная практика, в которой суд 1 указывает, что согласия должны содержать конкретный перечень лиц, которым персональные данные могут быть переданы. Помимо незаконности передачи, обработка персональных данных получателем, включая осуществление звонков лицам, чьи данные были получены в результате покупки базы данных, также является незаконной, если у такой компании отсутствует правовое основание сбора и обработки персональных данных. В соответствии со ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Рос- сийской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных, влечет предупреждение или наложение административного штрафа на граждан в размере от 1 до 3 тыс. руб.; на должностных лиц – от 5 до 10 тыс. руб.; на юридических лиц – от 30 до 50 тыс. руб. Под этот состав подпадает как незаконная передача персональных данных, так и их незаконное получение и использование. Кроме того, если компания – получатель ПДн обязана полу- чить письменное согласие на их обработку, например на обра- ботку специальных категорий ПДн, включающих информацию о состоянии здоровья, то неполучение такого согласия в уста- новленной законом форме может повлечь наложение админи- стративного штрафа на граждан в размере от 3 до 5 тыс. руб.; на должностных лиц – от 10 до 20 тыс. руб.; на юридических лиц – от 15 до 75 тыс. руб. В первую очередь операторам ПДн необходимо принять надлежащие меры по их защите, включающие в себя: (i) орга- низационные меры: назначение ответственного за организацию обработки персональных данных, проведение тренингов по защите данных и т.д.; (ii) технические меры: надлежащая защита ИТ-инфраструктуры от незаконных или случайных уте- чек данных, регулярная проверка соответствия принятых мер угрозам, которые актуальны для ИТ-системы и т.д.; и (iii) пра- вовые меры: принятие локальных актов, определяющих поли- тику оператора по обработке и защите персональных данных. Помимо прочего, крупным организациям, обрабатывающим значительное количество персональных данных конечных поль- зователей, необходимо контролировать действия работников, которые могут осуществлять выгрузку и продажу клиентских баз. Большинство судебных дел, связанных с персональными данными, являются делами по оспариванию ненормативных актов, решений органов власти, т.е. оспариванием операторами предписаний Роскомнадзора, выявившего определенные нару- шения в деятельности операторов. Известны случаи, когда работники операторов были признаны виновными в совершении преступления, предусмотренного ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), за передачу базы данных клиентов. Несмотря на юридическую возможность пользователя предъ- явить иск к оператору в отношении незаконной обработки пер- сональных данных, такая практика не распространена, в том числе потому, что истцу необходимо доказывать размер убыт- ков, что представляется затруднительным, либо рассчитывать на компенсацию морального вреда, что на практике является незначительной суммой. l Учитывая вышесказанное, рекомендуется провести следую- щие мероприятия по минимиза- ции рисков для организации: 1. Провести классификацию ИС в соответствии с законодатель- ством Российской Федерации. 2. Провести инвентаризацию средств защиты информации на предмет наличия сертифи- катов соответствия требованиям по безопасности (ГИС) либо про- вести оценку соответствия само- стоятельно (ИСПДн, ОКИИ). 3. При использовании СКЗИ проверить наличие и правиль- ность обоснования по выбору класса защиты СКЗИ. 4. При подключении к ГИС обязательно наличие аттестата соответствия на удаленные рабочие места. Либо получен свой аттестат, либо получено подтверждение от оператора ГИС о том, что ваши рабочие места учтены как типовые в аттестате на ГИС. 5. При закупке услуг у облач- ного провайдера обязательно интересуйтесь местом нахожде- ния облачной инфраструктуры. 6. Операторам ОКИИ следует очень аккуратно подходить кпро- ведению внутренних служебных расследований инфраструктур- ных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по резуль- татам таких проверок могут использоваться правоохрани- тельными органами для возбуж- дения уголовного дела в течение последующих 10 лет. l 36 • ПРАВО И НОРМАТИВЫ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Незаконная передача данных и последствия Владислав Елтовский, юрист международной юридической фирмы CMS, Россия 1 Решение Арбитражного суда города Москвы от 23.11.2017, дело № А40-174258/17.