Журнал "Information Security/ Информационная безопасность" #6, 2023

Появились также новые требования к обезличива- нию в области медицины – приказ Министерства здра- воохранения Российской Федерации от 24.11.2023 № 630н "Об утверждении требований к обезличива- нию информации ограничен- ного доступа". Не только штрафами страшны утечки – Прави- тельство России поддержа- ло инициативу Минцифры о компенсации вреда пострадавшим. Идея лицензирования деятельности по обработке персональных данных давно витает в воздухе, так что вполне вероятно появление инициатив в этом направле- нии. Чего ожидать? В Государственной Думе находятся на рас- смотрении четыре зако- нопроекта. Два из них (502113–8 и 502104–8) касаются ужесточения наказаний за незакон- ную обработку персо- нальных данных, в том числе за утечки, в части уголовной и административной ответствен- ности. Ранее говорилось об обо- ротных штрафах, но, судя по тексту проектов, наказание не будет зависеть от масштаба организации. Максимальный размер штрафа – 500 млн руб., также возможно лишение сво- боды сроком до пяти лет. Третий законопроект (353266–8) принят в третьем чтении и предусматривает появление новой статьи в КоАП, касающейся нарушений требо- ваний в области размещения биометрических персональных данных. Штрафы за нарушения в этой сфере составят до 1 млн руб. Четвертый законопроект (992331–7) касается обезличи- вания ПДн. Президент дал поручение принять изменения в ФЗ "О персональных данных" до 15 декабря этого года. Нас ждет новая статья 13.1 "Осо- бенности обработки персональ- ных данных, полученных в результате обезличивания персональных данных, при фор- мировании составов данных и предоставления доступа к ним". В Минцифры планиру- ется создание центра обезличи- вания ПДн 1 . Появились также новые тре- бования к обезличиванию в области медицины – приказ Министерства здравоохранения Российской Федерации от 24.11.2023 № 630н "Об утвер- ждении требований к обезличи- ванию информации ограничен- ного доступа". Так что можно прогнозировать формирование тренда на будущий год. Не только штрафами страш- ны утечки – Правительство Рос- сии поддержало инициативу Минцифры о компенсации вреда пострадавшим. Если поправки вступят в силу, опе- ратор обязан будет уведомлять субъекта персональных данных об утечке, а у субъекта появится право на выплату через Госу- слуги 2 . Из неподтвержденных офи- циально трендов можно выде- лить информацию о появлении спецоператора, в роли которого может выступить Роскомнадзор, а также о появлении "лицензий" на обработку 3 . Идея лицензи- рования деятельности по обра- ботке персональных данных давно витает в воздухе, так что вполне вероятно появление ини- циатив в этом направлении. Что делать? Соблюдать рекомендации Роскомнадзора 08 августа 2023 г. вышли рекомендации Роскомнадзора операторам персональных дан- ных. Рекомендации носят общий характер: минимизация перечня ПДн, раздельное хра- нение, отказ от избыточности, своевременное уничтожение, уведомление регулятора об утечках, применение мер защи- ты, в том числе технических и физических, а также обязатель- ное назначение ответственного лица. Немаловажно периоди- чески сверяться с ними в части стратегии защиты персональ- ных данных в организации. Сведения из уведомления об обработке персональных данных привести в соответствие с политикой оператора в отношении обработки персональных данных 07 ноября 2023 г. в Минюсте России был зарегистрирован приказ Министерства цифро- вого развития, связи и массо- вых коммуникаций РФ от 17 августа 2023 г. № 720 "О внесении изменения в пере- чень индикаторов риска нару- шения обязательных требова- ний при осуществлении феде- рального государственного контроля (надзора) за обра- боткой персональных данных, утвержденный приказом Мини- стерства цифрового развития, связи и массовых коммуника- ций Российской Федерации от 15 ноября 2021 г. № 1187". Приказом внесен новый инди- катор риска, касающийся уста- новления трех и более фактов несоответствия информации, указанной оператором в уве- домлении об обработке персо- нальных данных, сведениям, указанным в политике в отно- шении обработки персональ- ных данных, и размещенным на сайте организации. Обязан- ность по размещению политики на собственном сайте опреде- ляется ч. 2 ст. 18.1 Федераль- ного закона "О персональных данных". Уничтожать персональные данные правильно Требования к уничтожению регламентирует приказ Роском- надзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", который вступил в силу с 01 марта 2023 г. и действует до 01 марта 2029 г. 4 • В ФОКУСЕ Персональные данные в 2024 году. Чек-лист 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых. В Ксения Шудрова, эксперт по информационной безопасности 1 https://iz.ru/1536931/dmitrii-bulgakov/drugim-imenem-v-rossii-sozdadut-tcentr-obezlichivaniia-dannykh-dlia-podgotovki-ii 2 https://t.me/mintsifry/1990 3 https://www.forbes.ru/tekhnologii/499321-rkn-hocet-sozdat-institut-specoperatorov-dla-obrabotki-personal-nyh-dannyh