Журнал "Information Security/ Информационная безопасность" #5, 2019

На официальный государственный портал 17 сентября 2019 г. выложен законопроект о ратификации Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1 . Основная цель законопроекта – это при- дание юридической силы протоколу, который был подписан Россией 10 октяб- ря 2018 г. Изменения, вносимые прото- колом в Конвенцию Совета Европы, содержат иные правила, чем предусмот- ренные законодательством РФ. Модернизация требований в области персональных данных Исполнение протокола Россией потре- бует внесения изменений в Федеральный закон "О персональных данных" и Кодекс Российской Федерации об администра- тивных правонарушениях (КоАП). Уже сейчас стоит обратить внимание на такие основные моменты: 1. Модернизированной конвенцией вводятся новые определения "контролер" (что соответствует понятию "оператор", закрепленному в Федеральном законе "О персональных данных"), "лицо, осу- ществляющее обработку персональных данных" и "получатель". Как следствие, понятийный аппарат нормативно-право- вой базы РФ в области обработки и защиты ПДн необходимо будет также под них подстроить. 2. Модернизированная конвенция обя- зует контролера своевременно уведом- лять компетентный надзорный орган (в РФ – Роскомнадзор) об утечках дан- ных, в связи с чем за невыполнение оператором обязанности по уведомле- нию уполномоченного органа устанав- ливается административная ответствен- ность. А это значит, что рано или поздно операторов ПДн в РФ обязуют инфор- мировать Роскомнадзор об утечках ПДн и введут соответствующие штрафы за невыполнение данной обязанности. 3. В модернизированной конвенции содержится требование учредить один или несколько надзорных органов, ответ- ственных за ее выполнение, с четким описанием их полномочий. Законопроек- том данные полномочия возлагаются на Роскомнадзор. Обезличенные ПДн и обезличенные данные: в чем разница? 18 сентября 2019 г. Минкомсвязи Рос- сии опубликовала проект федерального закона о внесении изменений в Феде- ральный закон "О персональных дан- ных" 2 . Законопроект предлагает к рассмот- рению новые понятия – "обезличенные ПДн" и "обезличенные данные". Обезличенными ПДн считается такой набор данных, который при дополнении любой иной информацией позволит определить субъекта ПДн. Обезличен- ные данные – те, которые при любых проделанных с ними действиях не при- ведут к определению субъекта ПДн. В проекте описаны следующие поло- жения по работе с обезличенными ПДн и обезличенными данными: l обезличивание ПДн должно осуществ- ляться с согласия субъекта ПДн, за исключением случаев, установленных федеральными законами (например, обезличивание в исследовательских, статистических и (или) аналитических целях допускается без согласия); l действия, приводящие обезличенные ПДн к виду, который позволяет опреде- лить субъекта ПДн, должны осуществ- ляться по согласию субъекта ПДн; l допускается передача обезличенных ПДн третьему лицу по согласию субъекта ПДн, но при условии, что иная инфор- мация, позволяющая определить субъ- екта, не будет передана оператором третьему лицу; l если третьим лицом были получены обезличенные ПДн, то оно может исполь- зовать их в предпринимательской дея- тельности, но не допускается совершать любые действия, позволяющие устано- вить субъекта ПДн; l получение, обработка и любое исполь- зование обезличенных данных осуществ- ляется свободно, без согласия субъекта ПДн; l требования и методы обезличивания ПДн должны быть разработаны Роском- надзором и распространяться на всех операторов ПДн; l требования и методы обезличивания, обеспечивающие невозможность отне- сения информации к конкретному субъ- екту ПДн, устанавливаются Правитель- ством РФ. Обработка ПДн по согласию и поручению Разработчики изменений предлагают отказаться от основного принципа полу- чения согласия субъекта ПДн: "одна цель – одно согласие". Законопроектом предлагается возможность: l дачи согласия на обработку ПДн одно- временно для нескольких целей (при этом субъектам ПДн гарантируется право отказаться от дачи согласия на обработку ПДн или внести в него изме- нения); l получения подтверждения дачи согласия субъектом на обработку его ПДн в элек- тронной форме (по СМС, электронной почте, путем заполнения формы на сайте оператора или лица, действующего по поручению оператора, иными способами); l указания лиц, осуществляющих обра- ботку ПДн по поручению оператора (если 14 • ПРАВО И НОРМАТИВЫ Время законодательных перемен Сентябрь 2019 года ервый осенний месяц 2019 г. принес много нового в области защиты и обработки персональных данных. Госдумой рассмотрен большой пакет изменений административных штрафов за нарушение требований обработки ПДн, а также официально опубликованы изменения в требования по защите информации в государственных информационных системах (ГИС). П Анастасия Заведенская, аналитик Аналитический центр Уральского центра систем безопасности 1 https://regulation.gov.ru/projects#npa=95055 2 https://regulation.gov.ru/projects#npa=95069