Пятница, 27 января, 2023 | USD: 69,13 EUR: 75,33

Не найти, а уничтожить

В России ужесточат правила обращения с персональными данными.

В ближайшем будущем в России начнут действовать новые правила, касающиеся персональных данных — в том числе их удаления и оценки вреда при утечке. Соответствующие приказы обнародовал Роскомнадзор. Как отстоять свои права в новой системе и защитить чувствительную информацию, разбирались «Известия».

Заделали «дыры»

Порядок обращения с персональными данными и случаи его нарушения сегодня регулирует Федеральный закон № 152-ФЗ «О персональных данных». Согласно документу, каждой информационной системе, в которой хранятся и обрабатываются личные сведения, присваивается определенный класс защиты.

— Несмотря на то, что закон вышел аж в 2006 году, некоторые его положения до сих пор вызывают вопросы в части реализации и толкования, — говорит замдиректора департамента информационной безопасности STEP LOGIC Денис Пащенко.

Регуляторы стараются закрывать белые пятна. Например, летом были приняты изменения, затрагивающие компании и предпринимателей. Теперь они обязаны информировать органы власти о компьютерных атаках на сайт и утечке персональных данных. Также необходимо оповещать Роскомнадзор, если личные сведения планируют передать за рубеж.

В связи с изменениями ведомство утвердило два приказа, которые должны упростить для россиян решение споров, если компания отказывается удалять персональную информацию. Приказ от 27.10.2022 № 178 разъясняет, как оценить вред, причиненный при утечке.

— Приказ устанавливает требования к оценке вреда применительно к деятельности оператора по обработке ПД и не затрагивает вопросы, связанные с обеспечением безопасности персональных данных, регулирование которых отнесено к компетенции ФСБ и ФСТЭК России, — пояснили «Известиям» в Роскомнадзоре.

Ущерб в документе разделили на несколько степеней тяжести, также в нем прописали, кто может быть уполномочен оценивать вред, причиненный пострадавшему.

— Предыдущая редакция закона также обязывала оператора проводить экспертизу, но не связывала оценку с какими-либо требованиями Роскомнадзора, — пояснил ведущий юрист Европейской юридической службы Юрий Телегин.

С этим согласен и Денис Пащенко: операторы выполняли эти требования, исходя из своего видения, без формальных рычагов регулирования.

В другом приказе, от 28.10.2022, Роскомнадзор утвердил требования к уничтожению персональных данных. Организация обязана удалить личные сведения человека по его первому требованию. Оба документа вступят в силу с марта 2023 года и будут действовать шесть лет.

Принятые нормы являются логичной и давно ожидаемой мерой, считает управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев. Однако глобально изменить ситуацию в лучшую сторону удастся вряд ли, полагают эксперты.

А судьи кто

С каждым годом всё чаще появляются новости об утечке персональных данных пользователей. Только в этом году в сеть попала личная информация из электронных сервисов, соцсетей, магазинов, медицинских лабораторий и даже некоторых учреждений госсектора.

— В открытом доступе появляются разные сведения, и нельзя ставить в один ряд случаи, когда в сети оказались адреса электронной почты и реальные адреса места жительства людей, да еще и с кодами домофонов. Даже утечка номера паспорта и скана паспорта — это разные истории, — поясняет «Известиям» исполнительный директор российской IT-компании HFLabs Константин Степанов.

В феврале случилась одна из крупнейших утечек персональных данных в истории РФ: в открытый доступ попала информация более чем о 20 млн пользователей, в июле — о 25 млн клиентов компании «СДЭК» и 30 тыс. контрагентов, в августе вновь утекли сведения уже об 120 тыс. клиентах сервиса «СДЭК». Осенью стало известно об утечке данных почти 500 млн пользователей WhatsApp (принадлежит Meta, признанной экстремистской организацией в РФ), около 10 млн пострадавших были гражданами России. За год до этого в сети распространили, по разным оценкам, до 1,5 млрд данных Facebook-аккаунтов (как и WhatsApp, принадлежит Meta, признанной экстремистской организацией в РФ).

— Безусловно, на 2022 год пришелся бум в сфере утечек, — комментирует Евгений Царев.

Перечень слитых данных разнообразен: от ФИО до адресов с указанием этажа и кода домофона. Огласке предаются только наиболее громкие и резонансные случаи, добавляет Денис Пащенко. Увеличение числа кибератак на базы данных российских пользователей эксперты связывают в том числе с СВО.

— С начала специальной военной операции резко увеличилось количество таких утечек — более 140 случаев, в сеть попали около 600 млн записей о гражданах. За аналогичный период 2021 года было зафиксировано четыре инцидента с персональными данными, — уточнили «Известиям» в Роскомнадзоре.

Ввиду того, что в 2022 году резко увеличилось число утечек, выросло и количество судебных дел, связанных с взысканием компенсаций. При их разрешении всегда остро встает вопрос об оценке степени вреда, причиненного утечкой. Это, в свою очередь, существенно затягивает время рассмотрения. К тому же, по словам Евгения Царева, изначально не было понятно, что подобная оценка дает пострадавшему.

— Утвержденный же приказ описывает критерии с целью защиты именно субъекта. То, что учитывается только более высокая степень вреда, ставит оператора в заведомо невыгодное положение, однако одновременно является превентивной мерой, которая заставит компанию думать о надлежащей защите сведений клиентов, — рассуждает эксперт.

Регулятор дает выбор: проводить оценку вреда единолично или комиссией. Специалист считает, что в такую комиссию должны входить ответственный за обработку ПДН, ответственный за информационную безопасность и руководитель компании. В случае, если пострадавший не согласен с результатами проверки, он может обратиться в суд.

Помимо этого, гражданин вправе обратиться в Роскомнадзор с обоснованием, подтверждающим нарушение его прав и законных интересов, пояснили «Известиям» в ведомстве. Или в Центр правовой помощи гражданам в цифровой среде, который работает с 2021 года.

Штрафами не пуганные

В России с прошлого года действует закон, по которому каждый человек может отозвать свои персональные данные, где бы они ни хранились. Гражданин может напрямую обратиться к любому лицу, опубликовавшему такого рода информацию, и потребовать их уничтожения. При этом убрать их обязаны по первому требованию, владельцу не надо ничего никому доказывать и объяснять.

Однако, как показывает практика, чаще вместо уничтожения информации заявителю предлагают отозвать согласие на обработку персональных данных, что, по сути, является временной мерой. Если компания не удалит сведения в установленные сроки, это будет считаться нарушением по ст. 13.11 КоАП РФ и наказываться штрафом.

— Штраф сравнительно небольшой, однако постоянные нарушения, в соответствии с обновленными правилами, его увеличивают. Если же рассматривать не единичный случай, а весь массив субъектов, то приведенные суммы могут вырасти на порядок: всё будет зависеть от реальной судебной практики, — поделился мнением с «Известиями» Денис Пащенко.

Обычно из-за маленьких взысканий компании игнорируют требования об уничтожении данных, но новый законопроект сделает каждый штраф зависимым от доходов организации, указал специалист Роскачества Сергей Бодров.

— Минцифры подготовило законопроект, который предусматривает санкции до 3% от годового оборота компаний за утечку данных граждан. Что уже заставит операторов более ответственно относиться к сохранности информации, — полагает эксперт.

В том, что минимальные санкции позволяют организациям не соблюдать закон, уверен и Евгений Царев.

— Как известно, на сегодняшний день размеры штрафов за утечки крайне малы. К примеру, один из крупных российских сервисов был оштрафован по ч. 1 ст. 13.11 КоАП РФ на 120 тыс. рублей за две утечки персональных данных пользователей, а это данные более чем 58 тыс. пользователей, информация о которых утекла в сеть, — рассуждает он.

Существуют и такие организации, которые не удаляют данные, а просто дают отписку, что они уничтожены, признает Евгений Царев:

— В 99% случаев человек никак не может отследить, удалили ли фактически его персональные данные или нет, оставшийся же 1% приходится на тех людей, в присутствии которых сведения непосредственно уничтожали, например, пропустили через шредер.

По мнению собеседника, утверждение требований к тому, как должен подтверждаться факт уничтожения данных, решает эту проблему. Раньше у оператора не было обязанности по выгрузке данных об уничтожении из журнала регистрации событий, что позволяло и вовсе не удалять информацию, а просто проставить нужную дату в документах перед проверкой. По новым правилам придется не просто составить акт по утвержденной форме, но и выгрузить данные из системы.

Исключением могут являться ситуации, когда личные сведения требуется раскрыть по закону. Например, при взыскании с гражданина задолженности по договору.

Кому выгодны утечки

Согласно опросу, проведенному на портале Роскачества в сентябре 2022 года, 89,5% пользователей не чувствуют, что они защищены от краж и утечек персональных данных в сети. Причин для кражи такой информации несколько. Например, личные данные можно продать другим злоумышленникам, составить на их основе более достоверные фишинговые письма, получить доступ к аккаунтам и устройствам владельца информации или оценить платежеспособность человека.

Степень опасности обуславливается набором украденных данных, комментирует «Известиям» Денис Пащенко.

— Последствия могут быть самыми различными: от слежки за человеком (с помощью информации о перемещении на такси или ином транспорте) до реализации мошеннических схем (документы, биометрия), шантажа и угроз (сведения о болезнях, личной жизни), — перечислил он.

Утечка персональных сведений может облегчить правонарушителям возможность представляться от имени субъекта ПДН, а также использовать эти данные для незаконной рекламы товаров, работ и услуг, добавляет Юрий Телегин.

Евгений Царев считает, что украденная информация способна обернуться финансовыми и репутационными потерями.

— К примеру, слив в сеть паспортных данных может привести к тому, что на пострадавшего оформят микрокредиты, с которыми сложно будет что-то сделать, — рассуждает специалист. При этом он отмечает, что желание заработать на продаже персональных данных толкает на преступление и «внутренних злоумышленников» — сотрудников организаций, которые намеренно сливают данные клиентов на черный рынок.

Полностью защитить свои данные на сегодняшний день нельзя — многие «дыры» в системах безопасности обнаруживаются уже после неприятных инцидентов.

— В большинстве случаев причина утечек — человеческий фактор. Культура работы с персональными данными в российском обществе еще формируется, и нередко сотрудники не понимают, что несут ответственность за такую информацию, — считает Константин Степанов. Специалист также утверждает, что часто утечки случаются из-за недосмотров в процедуре работы с данными, отсутствия необходимых ограничений и несвоевременного удаления.

Технические проблемы и желание сэкономить на системе безопасности компаниями приводят к тому, что хакеры находят обходные пути.

При этом даже полная реализация всех требований законодательства и огромные траты на защиту ПДН не дают полной гарантии защиты от утечек, дополняет Денис Пащенко.

Самое главное, что может сделать пользователь, это внимательно относиться к тому, где и какие данные он предоставляет. Константин Степанов обращает внимание на то, что клиент может частично отозвать согласие на обработку персональных данных: отказаться от передачи их третьим лицам или от получения коммерческой информации. При этом организация сможет по-прежнему обрабатывать его данные.

Фото: pixabay.com

Екатерина Карасева

“Известия”

<
Камерная установка

Камерная установка

Банки выступили против передачи фото и видео финразведке

>
Диктатура слова

Диктатура слова

Для чего на Украине приняли закон о медиа

Вас может заинтересовать:
Total
0
Share
Rambler's Top100 Mail.ru