Журнал "Information Security/ Информационная безопасность" #6, 2023

Оператору необходимо периодически проверять соответствие требованиям законодательства форм согласий и договоров как бумажных, так и электрон- ных. Очень важно следовать принципу предоставления персональных данных субъ- ектом свободно, своей волей и в своем интересе. С 01.03.2024 вступает в силу ГОСТ Р 56038–2023 "Национальный стандарт Российской Федерации. С 01.01.2024 согласно постановлению Правитель- ства РФ от 01 сентября 2023 г. № 1430 вступят в силу изме- нения, касающиеся биомет- рии и ЕСИА, в личном каби- нете на портале "Госуслуги" будут отображаться все согласия на обработку био- метрических данных пользо- вателя. Искусственный интеллект может представлять угрозу и создавать утечки персо- нальных данных. В 2023 г. приняты отдельные стандар- ты по искусственному интел- лекту, и постепенно будет формироваться законода- тельная база. Своевременно уведомлять об утечках В ст. 21 ФЗ "О персональных данных" указано, что в случае установления факта неправо- мерной или случайной передачи персональных данных, повлек- шей нарушение прав субъектов персональных данных, с момен- та выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом, оператор обязан уведо- мить Роскомнадзор в течение 24 часов о произошедшем инци- денте и в течение 72 часов о результатах внутреннего рас- следования. В ч. 12 ст. 19 ФЗ "О персональных данных" ука- зано, что оператор обязан обес- печивать взаимодействие с Гос- СОПКА, включая информиро- вание о компьютерных инци- дентах, повлекших неправомер- ную передачу персональных данных, через НКЦКИ. Уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу Согласно ст. 12 ФЗ "О персо- нальных данных" оператор до начала осуществления транс- граничной передачи персональ- ных данных обязан уведомить Роскомнадзор о своем намере- нии осуществлять такую пере- дачу. До подачи уведомления оператор обязан получить от иностранных лиц, которым передаются данные, определен- ный набор сведений, к которым относятся, например, сведения о мерах защиты и информация о правовом регулировании в области персональных данных иностранного государства. Проверить формы согласий на обработку персональных данных и договоров с субъектами, в том числе с несовершеннолетними Оператору необходимо периодически проверять соот- ветствие требованиям законо- дательства форм согласий и договоров как бумажных, так и электронных. Очень важно следовать принципу предостав- ления персональных данных субъектом свободно, своей волей и в своем интересе. Согласие должно быть кон- кретным, предметным, инфор- мированным, сознательным и однозначным. Для обработки персональных данных на сайте это означает наличие чек-бокса, чтобы пользователь самостоя- тельно отметил галочку согла- сия на обработку. Для бумаж- ного согласия – место для собственноручной подписи и возможность выбрать часть условий обработки. Необходимо также привести в порядок пер- сональные данные, разрешен- ные субъектом персональных данных для распространения (ст. 10.1 Федерального закона "О персональных данных"). Одним из важных видов дого- воров является договор поруче- ния обработки. В поручении оператора должны быть опре- делены перечень персональных данных, перечень действий с персональными данными, цели их обработки, должна быть уста- новлена обязанность такого лица соблюдать конфиденци- альность персональных данных и другие требования (ч. 3 ст. 6 Федерального закона "О пер- сональных данных"). Подготовить шаблоны документов для взаимодействия с субъектами персональных данных Оператору необходимо иметь шаблоны ответов субъекту с нужными сведениями (ст. 14, ст. 20 Федерального закона "О персональных данных"). Если в соответствии с требованиями законодательства предоставле- ние персональных данных или получение оператором согласия на обработку персональных дан- ных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отка- за предоставить его персональ- ные данные или дать согласие на их обработку. (ч. 2 ст. 18 Федерального закона "О пер- сональных данных"). Согласовать нормативные правовые акты с Роскомнадзором Банку России, госорганам и органам местного самоуправ- ления необходимо согласовы- вать нормативные правовые акты, если эти документы регу- лируют отношения, связанные с осуществлением трансгранич- ной передачи персональных данных, обработкой специ- альных категорий персональных данных, биометрических пер- сональных данных, персональ- ных данных несовершеннолет- них, предоставлением, распро- странением персональных дан- ных, полученных в результате обезличивания (ч. 3.1 ст. 4 ФЗ "О персональных данных"). Частные вопросы В сфере ЖКХ необходимо привести локальную документацию в соответствии с новым ГОСТом С 01.03.2024 вступает в силу ГОСТ Р 56038–2023 "Националь- ный стандарт Российской Феде- рации. Услуги жилищно-комму- нального хозяйства и управле- ния многоквартирными домами. Услуги управления многоквар- тирными домами. Общие тре- бования". Обратите внимание на ч. 6. "Сбор, уточнение и хра- нение информации о собствен- никах и нанимателях помещений в многоквартирном доме". При работе с биометрическими персональными данными необходимо подключиться к Единой биометрической системе или прекратить использовать биометрию для идентификации и аутентификации С 01.06.2023 обработка био- метрических персональных дан- ных с целью идентификации и аутентификации вне ЕБС запрещена, но до 01.02.2024 в ЕБС размещаются и обраба- тываются биометрические пер- сональные данные пока только двух видов: изображение лица и запись голоса человека. С 01.01.2024 согласно поста- новлению Правительства РФ от 01 сентября 2023 г. № 1430 всту- пят в силу изменения, касаю- щиеся биометрии и ЕСИА, в лич- ном кабинете на портале "Госу- слуги" будут отображаться все согласия на обработку биомет- рических данных пользователя. Аккуратно использовать искусственный интеллект при обработке персональных данных Искусственный интеллект может представлять угрозу и создавать утечки персональ- ных данных. В 2023 г. приняты отдельные стандарты по искус- ственному интеллекту, и посте- пенно будет формироваться законодательная база. Дать точный прогноз на сле- дующий год достаточно сложно: трендов много и будут появлять- ся новые. Но можно сказать однозначно, что требования законодательства в отношении обработки персональных дан- ных будут ужесточаться. l • 5 Персональные данные www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru