Category: Без рубрики

«Яндекс» объяснил утечку данных пользователей

На днях в поисковой системе «Яндекс» снова были опубликованы личные данные физических лиц. На этот раз стали доступны сканы паспортов; персональные данные на авиа и железнодорожные билеты, личные обращения граждан в департамент транспорта г. Москвы и другая персональная информация. Поисковый робот «Яндекса» собрал информацию с таких сайтов как Сбербанк, ВТБ, Дептранс г. Москвы и агрегаторов билетов. По словам представителя «Яндекса», алгоритмы поисковика проиндексировали файлы, потому что владельцы сайтов не позаботились об их безопасности. Основатель Б-152 Максим Лагутин дал свои комментарии #Performance360 о ситуации с утечкой персональных данных.

Понравился материал?
Поделитесь им с коллегами и друзьями

Какие изменения в №152-ФЗ нас ждут в 2018 году?

В конце июня завершилось публичное обсуждение и антикоррупционная экспертиза законопроекта Минкомсвязи России, касающегося персональных данных.

Мы выделили основные тезисы по предстоящим изменениям:
Планируется новая обязанность и ответственность операторов персональных данных.
Изменения коснуться ч.5 ст.6 152-ФЗ «О персональных данных». Теперь оператор персональных данных будет нести ответственность за осуществление надлежащего контроля при действиях другого лица, осуществляющего обработку персональных данных по поручению оператора. Порядок контроля определяется оператором самостоятельно.

Нарушения, допущенные в отношении обработки персональных данных, вследствие невыполнения надлежащего контроля, влекут за собой предупреждение или наложение административного штрафа. Для юридических лиц размер штрафа составит до 30 тыс. рублей, для должностных лиц – от 5 до 15 тыс. рублей.
Институт поручения на обработку персональных данных в России развит пока еще очень слабо. Большинство организаций не готовы брать на себя роль обработчика персональных данных и выполнять требования законодательства. После принятия данного законопроекта для соблюдения надлежащего контроля, операторы будут обязаны проводит аудит лиц, занимающихся обработкой персональных данных. Но все ли обработчики будут на это согласны?
Мы будем следить за продвижением данного законопроекта и практикой Роскомнадзора в области персональных данных.

Узнайте подробнее о нюансах №152-ФЗ у экспертов по вашей отрасли. Первая консультация бесплатна: http://b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

Новости с семинара Роскомнадзора

Роскомнадзор начал проводить на регулярной основе практические семинары, посвящённые персональным данным. Мы выделили несколько ключевых тезисов прошедшего мероприятия:
▪️Роскомнадзор не рекомендовал операторам использовать бесплатные шаблоны документов для подготовки на соответствие требованиям 152-ФЗ. Документация должна отражать реальную информацию об обработке и обеспечении безопасности персональных данных. Использование бесплатных шаблонов может привести к нарушениям законодательства.
▪️Представители регулятора отметили, что большая часть проверяемых организаций на момент проверки не подавали уведомление в Роскомнадзор (РКН). Данная информация показала, что, при подаче уведомления в РКН, оператор персональных данных автоматически не попадает на проверку регулятора.
▪️Осенью на сайте Роскомнадзора будет запущен сервис «Проверь себя», который должен помочь операторам персональных данных путем самооценки определить свое соответствие требованиям законодательства в области персональных данных.

Узнайте подробнее о нюансах №152-ФЗ
у экспертов по вашей отрасли. Первая консультация бесплатна: http://b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

Семинар «GDPR для бизнеса»

На протяжении последних двух месяцев дискуссии вокруг нового Европейского регламента по защите персональных данных набирают все новые и новые обороты. Поэтому в свете этих событий 19 июля в tceh прошло мероприятие «GDPR для бизнеса», на котором Максим Лагутин выступил спикером и осветил один из самых важных вопросов нового Европейского регламента, а именно: «Попадает ли компания, которая не является резидентом ни одной из стран Евросоюза под требования GDPR?», затронул перечень основных критериев соответствия GDPR, а так же рассказал о возможных штрафах и санкциях, которые ждут компании в случае несоблюдения регламента.

 

Ваша компания не имеет офисов, либо представительств в странах Евросоюза, но попадает под действие регламента GDPR? В этом случае, Б-152 имеет возможность предложить Вам услугу «Представитель на территории ЕС» в таких странах как Нидерланды, Болгария, Великобритания и Германия. https://b-152.ru/gdpr_consulting

Понравился материал?
Поделитесь им с коллегами и друзьями

Как не нарушать закон «О персональных данных» при работе с облачными CRM

Отвечает Максим Лагутин, руководитель, специалист по информационной безопасности
юридического сервиса «Б-152»

Это отличный вопрос и на него есть два ответа.

Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.

Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.

Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.

Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.

Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона

Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.

Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.

Понравился материал?
Поделитесь им с коллегами и друзьями

Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа

Введение

На позапрошлой неделе после поста директора по продуктам Notamedia Алексея Бородкина, что Тамбовский суд оштрафовал одного из клиентов их агентства за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте, — среди участников digital-рынка поднялся серьёзный хайп.

Никто и подумать не мог, о том, что закон N 152-фз «О персональных данных» доберётся до сайтов. Хотя, на самом деле, такие случаи уже были. В феврале этого года случился инцидент с астраханскими сайтами с формой обратной связи, в которых не было согласия на обработку персональных данных. Компании-владельцы сайтов были оштрафованы на 10 000 рублей каждая.

И это еще цветочки, ягодки начнутся 1 июля 2017 года, когда произойдёт серьёзное ужесточение законодательства в области персональных данных, которое затронет владельцев сайтов и агентства, их разрабатывающие и обслуживающие.

 

Почему это важно для digital-рынка?

Роскомнадзор отдельным блоком проверяет интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.

И он считает, что если вы имеете обрабатываете данные пользователей и имеете доступ к администрируемому сайту, то вы обработчик персональных данных и должны их правильно обрабатывать и защищать.

Если ничего не делать, то ваш клиент или попадёт «благодаря» вам, или проверка может затронуть лично вас.

Ужесточение законодательства по персональным данным

Не смотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и многие успели о нем позабыть, в нём происходили постоянные изменения. Все они обусловлены не столько изменением политической обстановки, сколько общим мировом трендом на более плотное регулирование этого вопроса (например, в Евросоюзе с 25 мая 2018 года вступят новые, более жёсткие требования по обработке и защите персональных данных GDPR).

Какие изменения законодательства и позиции регулятора (Роскомнадзора) и судов уже влияют и повлияют в будущем на digital-рынок:

1. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже попали LinkedInи МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

2. Через 3 месяца, а именно 1 июля 2017 года, будут кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей.

Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи:

Номер статьи Текст статьи Возможный штраф В каких случаях накладывается штраф
ч.1 ст.13.11 КоАП Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных До 50 000 рублей на юридических лиц
  1. Когда через сайт собираются сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией.
  2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)
ч.2 ст.13.11 КоАП Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных До 75 000 рублей для юридических лиц
  1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.
  2. Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга
  3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
  4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ (пруфлинк)
ч.3 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных До 30 000 рублей для юридических лиц
  1. Отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.
ч.4 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных До 40 000 рублей для юридических лиц
  1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
  2. Ответ на запрос в сроки, превышающие установленные законом
  3. Предоставление ложной информации
ч.5 ст.13.11 КоАП Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки До 45 000 рублей для юридических лиц
  1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
  2. Нарушение сроков предоставления ответов на поступившие запросы
ч.6 ст.13.11 КоАП Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния До 50 000 рублей для юридических лиц
  1. Отсутствие списка лиц, допущенных к такой обработке
  2. Отсутствие раздельного хранения данных
ч.7 ст.13.11 КоАП Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных до 6 000 рублей для должностных лиц
  1. Сабж

3. Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

  • Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;
  • закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним административным регламентом;
  • Роскомнадзор может блокировать сайты, которые незаконно собирают персональные данные (случай с Linkedin — явный тому пример).

4. Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Что является персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.

Исходя из позиции судов и Роскомнадзора, персональными данными является информация вплоть до пользовательских данных. Именно на позицию судов за неимением более чётких трактовок необходимо ссылаться.

Если в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.

Что делать игроку digital-рынка и владельцу сайта?

Чтобы не лить воду, опишу то, что как минимум нужно сделать агентствам, студиям и владельцам сайтов, чтобы не попасть на штрафы и не получить блокировку сайта.

  1. Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
  2. Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
  3. Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.
  4. Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.
  5. Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.
  6. Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.
  7. До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя.

Материал подготовлен на основании опыта работы компании Б-152

Понравился материал?
Поделитесь им с коллегами и друзьями

Что ждет операторов персональных данных в 2017 году?

Начиная с конца этого года, принимаются новые законопроекты и изменения, затрагивающие обработку персональных данных. Более активно они будут рассматриваться и продвигаться уже в 2017 году. 

Так, например,

  • С 1 января 2017 года вступят в силу изменения, связанные не только с регулированием передачи и обработки персональных данных должников коллекторскими агентствами, но также с правами должника отзывать свои персональные данные. Новые требования возникли в связи с принятием федерального закона №230 «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» от 3 июля 2016.
  • С прошлой недели, но более активно со следующего года, все юридические лица будут обязаны предоставлять по требованию налоговых органов сведения о бенефициарах своих владельцев, а это, во-первых, новый вид обрабатываемых персональных данных у многих юридических лиц, и, во-вторых, новые основания для их обработки. Данные корректировки появились из-за внесения изменений в федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», а также в Кодекс Российской Федерации об административных правонарушениях.
  • Уже в этом году Роскомнадзор объявил о создании проекта лучших практик по защите пользователей и их данных в сети Интернет «Цифровой дом». Это полностью подтверждает стратегию Роскомнадзора по повышению уровня влияния на выполнение требований 152-ФЗ «О персональных данных» со стороны ассоциаций и саморегулируемых организаций. На предстоящем Cyber Security Forum, который пройдет 7 февраля 2017 в Москве, состоится обсуждение с представителем Роскомнадзора на эту тему.
  • Ужесточится регулирование пользовательских данных в Интернете. Предполагается, что будут приняты поправки в текущий закон №152-ФЗ «О персональных данных», либо издан отдельный законопроект, инициатором которого выступит Институт Развития Интернета и Роскомнадзор.
  • Будут приняты поправки в законодательные акты, касающиеся телемедицины. Данные поправки повлекут за собой не только новый процесс сбора специальных персональных данных, но также добавят проблемы с электронным согласием и защитой таких данных.
  • Будет принята долгожданная Методика определения угроз безопасности информации в информационных системах от ФСТЭК . Ожидалось, что данный документ примут в этом году, но в настоящие время рассмотрение документа перенесено на 2017.
Понравился материал?
Поделитесь им с коллегами и друзьями

Linkedin: казнить нельзя помиловать!

Деловая социальная сеть Linkedin будет внесена Роскомнадзором в Реестр нарушителей прав субъектов персональных данных и заблокирована на территории России.

Гражданский иск был подан Роскомнадзором на социальную сеть еще летом, и в августе суд признал, что Linkedin нарушает права субъектов персональных данных (физических лиц). Нарушение связано с тем, что социальная сеть без согласия на обработку персональных данных собирает и иными способами обрабатывает персональные данные физических лиц, которые не зарегистрированы в социальной сети (пользователи Интернета, зашедшие на сайт), а именно данные из cookie.
Также социальная сеть нарушила требования по локализации баз персональных данных на территории России, как это сделали Samsung, Apple, Google, Booking.com и другие международные ИТ-компании.

Ссылка на решение суда

Апелляция Linkedin, рассматриваемая Таганским районным судом г. Москвы 10 ноября этого года, была отклонена, и социальную сеть ждет блокировка.
Ранее рассматривались 2 варианта развития событий:

1) Linkedin будет общаться с представителями регулятора, намереваясь договориться о локализации и выполнении требований закона №152-ФЗ «О персональных данных». О таком намерении социальной сети упоминали СМИ на прошлой неделе.

2) Роскомнадзор все же заблокирует социальную сеть и только после этого будет разбираться. Представители Роскомнадзора в конце прошлого года и начале этого заявляли, что будут общаться со всеми международными компаниями и сервисами, с целью помочь выполнить требования закона о локализации персональных данны. Но, видимо, такая тактика не принесла должных результатов.

Однако сегодня стало известно, что что социальная сеть Linkedin все же начала блокироваться в России.
«На основании вступившего в законную силу решения суда социальная сеть LinkedIn внесена в реестр нарушителей прав субъектов персональных данных и направлена для блокировки операторам связи», — говорится на сайте Роскомнадзора.
Первым ограничил доступ к Linkedin оператор связи Ростелеком.

Понравился материал?
Поделитесь им с коллегами и друзьями

Зачем необходимо обновлять документы по персональным данным?

Всегда стоит помнить, что обновлять документы по персональным данным необходимо не время от времени, а на ежегодной основе.

Почему? Расскажем вам о наиболее важных причинах.

1. Участились внеплановые проверки Роскомнадзора в ответ на жалобы физических лиц.

С 2009 года доля обращений граждан, касающихся вопросов защиты персональных данных, ежегодно увеличивается. В 2015 году в Роскомнадзор и территориальные органы поступило 33 000 обращений граждан по поводу нарушений в обработке персональных данных. Таким образом, по сравнению с 2014 годом число обращений возросло в 60,4% c 20 389 до 33 000. Аналогичная тенденция наблюдается в 2016 году.

Обращения граждан касаются не только крупных и государственных учреждений, но и микропредприятий и компаний малого и среднего бизнеса:

Статистика обращений с разбиением по типу организаций, к которым обращаются

Таким образом, от внеплановой проверки не застрахована ни одна компания. На каждую жалобу Роскомнадзор должен отреагировать незамедлительно и обратиться за разъяснениями в компанию, на которую написана жалоба. Она, в свою очередь, должна в кратчайшие сроки предоставить актуальный пакет документов по защите персональных данных. Формально о внеплановой проверке Роскомнадзор уведомляет не менее чем за сутки. За это время обновить документы, составленные год и более назад, просто невозможно, поэтому необходимо позаботиться о том, чтобы документы всегда соответствовали требованиям закона.

2. С 2016 года Роскомнадзор стал запрашивать больше информации, а проверки стали объемнее и тщательнее.

Список запрашиваемых документов и сведений в 2016 году при проверках Роскомнадзора в области персональных данных существенно вырос.

Это обусловленно тремя факторами:

  • Роскомнадзор стал осуществлять проверки по-своему, т.к. с 01.09.2015 года он вышел из под действия Федерального закона N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
  • вступили в силу требования о локализации баз данных с персональными данными на территории Российской Федерации
  • Роскомнадзор начал проверять информационные системы и обработку в них персональных данных

Такие изменения в проверках Роскомнадзора существенно влияют на сами документы по персональным данным, так и на реализацию требованйи закона.

Именно поэтому требуется обновлять пакет документов по персональным данным в связи с возросшим числом запрашиваемой информации и документов.

3. Постоянные изменения в законодательстве.

Каждая вторая проверка оператора Роскомнадзором выявляет нарушения. Количество выявленных нарушений при проведении плановых проверок в 2015 году на 37% больше, чем в 2014 году. Чаще всего это происходит потому, что компания не следит за изменением законодательства и не обновляет документы.

Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу.

Одни из изменения:

  • с 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 No 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно- телекоммуникационных сетях», который обязывает локализовать базы с персональными данными на территории России. Если этого не будет сделано, то возможна блокировка сайта, веб-сервиса или веб-системы, как это сейчас происходит с крупной деловой социальной сетью Linkedin, которая будет заблокирована с подачи Роскомнадзора.
  • Постановлением Правительства Российской Федерации от 19.08.2015 No 857 были утверждены Правила создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», который внес существенные изменения в возможность собирать данные на иностранных серверах, и исключил проверки из под действия закона  «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 N 294-ФЗ.
  • Приказами Роскомнадзора утверждены Порядок взаимодействия оператора реестра с провайдером хостинга, Порядок получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи, а также форма заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

В 2017 году также вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и взыскании долга.

Меняется законодательство — меняется позиция по тем или иным вопросам. Поэтому необходимо пересматривать процессы обработки персональных данных и обновлять документы.

4. С 1 января 2017 года могут возрасти штрафы за нарушение закона о персональных данных.

Это произойдет в случае вступления в силу нового Кодекса об Административных Правонарушениях. Он уже был одобрен в первом чтении и ожидается его финальное одобрение ГосДумой до конца 2016 года.

На данный момент ст. 13.11 КоАП РФ устанавливает штраф за нарушение законодательства о персональных данных от 300 до 500 руб. для физлиц, от 500 до 1000 руб. для должностных лиц и от 5 до 10 тыс. руб. для юрлиц.

Новый законопроект устанавливает самый большой штраф за обработку персональных данных, касающихся расовой и национальной принадлежностей, политических и религиозных взглядов, а также состояния здоровья, интимной жизни и сведений о судимостях. Для граждан такой штраф составит от 3 до 5 тыс. руб., для должностных лиц — от 10 до 25 тыс., для ИП — от 50 тыс. до 100 тыс. руб. и для юрлиц — от 50 тыс. до 300 тыс. руб.

Также, выявляя нарушения в ходе контрольно-надзорной деятельности, чиновники Роскомнадзора смогут оперативнее привлекать правонарушителей к ответственности.

Возрастает не только сумма штрафа, но и их количество. Среди новых составов правонарушения:

  • обработка персональных данных без письменного согласия субъекта;
  • обработка информация, касающейся личной жизни, здоровья, вероисповедания и т. д.;
  • невыполнение оператором требований к публикации в открытом доступе документа о его политике обработки персональных данных;
  • непредоставление оператором субъекту информации об обработке его персональных данных;
  • невыполнение оператором требований субъекта об уточнении, блокировке или уничтожении его персональных данных;
  • ненадлежащее хранение (в том числе при помощи электронных носителей) персональных данных;
  • несоблюдение правил по обезличиванию персональных данных.

 

Когда новый КоАП будет утвержден, то стоимость на разработку и обновление документов по 152-ФЗ, а также сопровождение деятельности по персональным данным серьезно возрастет.

5. С начала 2016 года количество арбитражных дел, касающихся персональных данных, превысило 10.000

Это легко подтверждается различными поисковыми системами по арбитражным делам.

В соответствии с п. 5 ч. 3 ст. 23 Закона No 152-ФЗ Роскомнадзором и его территориальными органами в 2015 году в реестр нарушителей прав субъектов персональных данных внесено 105 записей, заблокировано 29 интернет-ресурсов, остальные операторы удалили информацию без применения принудительных мер воздействия. При этом было заблокировано 12 справочников и прекращена неправомерная обработка персональных данных 45 млн человек.

Территориальными органами Роскомнадзора составлены и направлены на рассмотрение в суды 7 721 протокол об административных правонарушениях.

Также нарушители вносятся в автоматизированную информационную систему «Реестр нарушителей прав субъектов персональных данных».

Тем не менее законодательство и судебная практика в вопросах защиты персональных данных не совершенны и изменчивы. Нужно всегда следить за новыми решениями по конкретным вопросам самих судов и регуляторов, а затем менять некоторые формулировки в документах и описания.

6. Законодательное требование пересмотра уровней защищенности раз в 3 года.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» возлагает на оператора персональных данных не реже 1 раза в  3 года проводить пересмотр уровней защищенности информационных систем.

Контроль за выполнением требований организуется и проводится оператором самостоятельно и/ или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Из-за чего приходится изменять акты определения уровней защищенности, модели угроз, протоколы определения ущерба и ТЗ на системы защиты персональных данных. Также необходимо следить за тем, чтобы договор с подрядной организацией был действующим и актуальным.

7. 152-ФЗ требует подавать информационное письмо об изменениях при изменениях сведений, содержащихся в реестре операторов.

Чаще всего компании не актуализируют контакты и ФИО ответственного лица, информацию о своем новом адресе, наименовании. Соответственно необходимо следить за правильностью предоставленных данных и вовремя обновлять информацию в реестре операторов, иначе возможно наложение штрафов и санкционирование внеплановой проверки со стороны Роскомнадзора.

Тем более Роскомнадзор ожидает подачи уже обновленного уведомления или письма о внесении изменений, где необходимо указать все информационные системы и адреса их месторасположения.

_______

Сфера защиты персональных данных активно развивается, уточняются требования, появляются новые законы… И не всегда компании способны следить за этими изменениями. А несоблюдение требований законодательства становится причиной штрафов, проверок, жалоб со стороны клиентов и конкурентов, а также потери времени и ценной информации.

Поэтому рекомендуем вам обновлять документы каждый год и держать их актуальность под контролем вместе с “Б-152”.

Для уточнения вопросов по обновлению и актуализации документов по персональным данным вместе с «Б-152» обращайтесь по следующим контактам:

8 (800) 707-80-52

8 (499) 372-06-52

info@b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

© 2016 Все права защищены
+7 (499) 372-06-52 | info@b-152.ru