Журнал "Information Security/ Информационная безопасность" #5, 2018

Статья 3. п. 3 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совер- шаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточ- нение (обновление, измене- ние), извлечение, использо- вание, передачу (распро- странение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Статья 3. п. 4 Автоматизированная обработка персональных данных – обработка персо- нальных данных с помощью средств вычислительной техники Статья 3. п. 10 Информационная систе- ма персональных данных – совокупность содержащихся в базах данных персональ- ных данных и обеспечиваю- щих их обработку информа- ционных технологий и тех- нических средств. Статья 3. п. 11 Трансграничная передача персональных данных – передача персональных дан- ных на территорию ино- странного государства орга- ну власти иностранного государства, иностранному физическому лицу или ино- странному юридическому лицу. насилию. В мае 2015 г. Центр по защите прав женщин уведо- мил НЦЗПД РМ о незаконной обработке ПДн одним из судов, который опубликовал в Интер- нете в открытом доступе личные ПДн детей/несовершеннолетних (имя, домашний адрес, дата рождения). Опубликованная информация содержала меди- цинские диагнозы отдельных субъектов ПДн. Указанная информация более года нахо- дилась в общем доступе и по решению другого суда была срочно изъята с сайта и обез- личена. 2016 год Завершено одно из самых громких расследований НЦЗПД РМ, связанное с компанией STARNET, которая разместила ПДн своих клиентов в Интерне- те в свободном доступе. По результатам проведенной экс- пертизы подтверждены отсут- ствие согласия клиентов на подобные действияй, наличие открытого доступа к ПДн, обра- батываемых в информационной системе STARNET, фактическая обработка (хранение) в STAR- NET ПДн, отсутствие необходи- мой системы защиты инфор- мации и другие нарушения. В отношении организации, допустившей нарушения, судом выбрана соответствующая мера наказания. И таких примеров в практике НЦЗПД РМ или аналогичного отечественного регулятора можно найти десятки, если не сотни в год. Часть 3 Громкие и масштабные утеч- ки субъектов ПДн невольно заставляют задуматься специа- листов по защите информации как об ИБ (не как о состоянии на момент формальной ком- плаенс-проверки, а как о слож- ном процессе, наблюдаемом во времени), так и об основаниях для обработки ПДн (в том числе согласно п. 2.1. ФЗ-152) граж- дан РФ на сторонних (порой запрещенных на территории РФ или расположенных за преде- лами страны) порталах. Если вопросам проверки защищен- ности, поиска и устранения уязвимостей организаторы крупнейших российских медиа- порталов уделяют хоть какое- то, пусть минимальное, внима- ние, то вопросам комплаенса и выполнения требований терри- ториальных органов и феде- ральных регуляторов в случае с крупнейшими интернет-про- ектами уделяется минимум ресурсов по остаточному прин- ципу. Тут масштаб проблемы хорошо проиллюстрирует ста- тистика работы отечественного Роскомнадзора. Согласно Рее- стру нарушителей прав субъек- тов ПДн, размещенному на сайте регулятора, только за неполные шесть месяцев 2018 г. Роскомнадзор заблокировал более 500 различных сайтов и порталов в Интернете. Более 600 сайтов, получивших пред- писание Роскомнадзора, само- стоятельно удалили ПДн со своих страниц, не дожидаясь блокировки, объявленной в качестве потенциального нака- зания за нарушение ФЗ-152. К сожалению, не все акту- альные проблемы попали в фокус рассмотрения Роском- надзора за истекший период работы. Следующие вопросы и нестыковки по состоянию на октябрь 2018 г. до конца не решены (обозначим их крупны- ми мазками): 1. Неоднозначная/вариатив- ная трактовка термина "пер- сональные данные" (ПДн) при их обработке в Интернете. Определение ПДн из ФЗ-152 представлено выше по тексту. А вот, к примеру, определение ПДн (личная информация) с точки зрения корпорации Google: "личная информация – это предоставленные вами ком- пании Google сведения, которые позволяют установить вашу лич- ность. К ним относятся имя, адрес электронной почты, пла- тежные данные и прочие сведе- ния, которые могут расцени- ваться компанией Google как идентифицирующие, например информация из вашего аккаунта Google". В свою очередь сервис Mail.ru под термином "личные данные" понимает следующий набор: имя, фамилия, псевдо- ним, фотография, дата рожде- ния, пол, город, часовой пояс, номер телефона и т.д. Попытка формально уйти от соответствия определению термина ПДн, дан- ному в законе ФЗ-152, регуляр- но приводит к идейным спорам. 2. Трансграничная передача и обработка ПДн в Интернете. В сентябре 2016 г. появились новости в СМИ, породившие волну негодования пользовате- лей портала LinkedIN в связи с его скоропостижной блокиров- кой на территории РФ. Оставим за рамками данной статьи реальные причины и следствия того скандала и укажем в каче- стве иллюстрации только офи- циальную версию уполномочен- ного органа. Роскомнадзор тогда выиграл слушания в Таганском суде Москвы о нару- шении организаторами LinkedIN ст. 12 закона ФЗ-152 в части трансграничной передачи ПДн, (по другим источникам – в части несогласованной передачи ПДн иностранным третьим лицам и хранения ПДн пользователей в ЦОД вне территории РФ). На основании полученного реше- ния суда уполномоченный орган • 49 ПРАВО И НОРМАТИВЫ www.itsec.ru