21 марта 2023

Изменения в законе о персональных данных: что нужно знать бизнесу?

В связи с участившимися случаями утечек чувствительной информации в закон «О персональных данных» внесены очередные изменения. Знание и выполнение требований этих нововведений поможет избежать миллионных штрафов.

Утечки данных в России
 
В 2021 г. число скомпрометированных записей персональных и платежных данных россиян, по данным InfoWatch, выросло на 20%. Всего «утекло» 8,42 млрд записей, 90% из них содержали ПДн. В 2022 г., как подсчитали в Group-IB, объем таких утечек увеличился в 40 раз – пострадали персональные данные около 100 млн россиян. В сеть, по оценке «Лаборатории Касперского», попало примерно 1,5 млрд записей. Участились случаи корпоративных утечек. Данных «сливалось» так много, что их стоимость на черном рынке упала в два раза – сейчас можно найти базы стоимостью $100–150. 
 
Вот лишь несколько примеров: в 2021 г. сведения об 1,3 млн владельцев автомобилей Hyundai в России с именами, адресами и телефонами были выставлены на продажу на теневом форуме за $2 тыс. Годом позже в открытый доступ попали данные сотен тысяч покупателей сети «ВкусВилл». Из совсем недавнего – утечки 1,6 млн записей «Спортмастера», информация о десятках тысяч клиентов страховой компании «Согаз-Жизнь» и миллионах пользователей платежного сервиса Mandarinbank.
 
Чтобы снизить риски утечек, законодательство в этой сфере постоянно совершенствуется, а штрафы для юридических лиц растут.
 
Что меняется в законодательстве о персональных данных
 
Персональные данные россиян обрабатывают более 6 млн организаций и ИП. Каждая из них является оператором данных и обязана соблюдать законодательство о ПДн. Для юридических лиц предусмотрена административная ответственность за нарушения: штраф от 30 тыc. до 6 млн руб. При повторении ситуации – до 18 млн руб.
 
Это положение закреплено в ст. 13.11 Кодекса об административных правонарушениях. Порядок обращения с личной информацией клиентов и сотрудников регламентируется законом «О персональных данных» (№ 152-ФЗ). Очередные изменения в этот закон внесены законом № 266-ФЗ от 14.07.2022 и вступили в силу 01.09.2022. Ряд других нововведений планируется утвердить в марте текущего года. На что обратить внимание?
 
1. Изменились формы подачи документов на обработку персональных данных: 
  • В поручении на обработку персональных данных должны быть указаны перечни ПДн и действий с ними, а также цель обработки ПДн. Необходимо соблюдать требования по локализации и положения ст. 18.1 закона № 152-ФЗ об обязанностях оператора. Кроме того, компания, выполняющая обработку ПДн, должна уведомлять оператора об утечках, а также предоставлять заказчику сведения и документы о выполнении поручения. Все это нужно включать в шаблон поручения.
  • В договоре с субъектом ПДн – физическим лицом – не должны содержаться положения, которые ограничивают его права и свободы. Также запрещается обработка персональных сведений несовершеннолетних.
  • Согласие на обработку ПДн должно носить конкретный, предметный, сознательный и однозначный характер. Добавились понятия «предметность» (соответствие документа цели обработки) и «однозначность» (намерение субъекта дать согласие должно быть выражено ясно – например, поставлена галочка). Кроме того, субъекта важно проинформировать об этом. В случае обязательного согласия в обязанности оператора входит разъяснение субъекту юридических последствий отказа.
  • Формы уведомлений теперь строго регламентированы. Если же оператор получил ПДн не от их субъекта, он обязан до начала обработки данных проинформировать того о процессе, в том числе о цели процедуры и перечне ПДн, которые планируется обрабатывать.
2. Строго определены сроки реагирования на запросы субъектов данных.
 
Теперь срок ответа не должен превышать 10 рабочих дней. В такой же срок оператор обязан удалить персональные данные по запросу. Допустимо продление срока ответа на неделю, но лишь при условии подробного уведомления субъекта данных.
Любопытный момент – субъект теперь может отказать оператору в предоставлении биометрии или согласии на обработку биометрических данных. Но оператор не имеет права отказать субъекту в обслуживании. При этом биометрией может считаться, например, идентификация личности в московском метро.
 
3. Стала обязательной подготовка внутренних регламентов компании: 
  • регламента внутреннего аудита – аудит должен проводиться регулярно и соответствовать законодательным нормам обработки ПНд;
  • регламента ознакомления сотрудников с требованиями закона № 152-ФЗ. Он должен включать положение об ознакомлении с локальной нормативной документацией;
  • регламента об обучении сотрудников;
  • временного регламента оценки вреда субъектам – он пока не обязателен, но предполагается, что в марте появятся конкретные требования к его подготовке.
Кроме того, необходимо актуализировать политику обработки персональных данных. В частности, добавить детальную информацию о целях обработки ПДн – это обязательный пункт с 1 марта 2023 г. Эта информация должна быть размещена на всех страницах форм, используемых для сбора персональных данных. Нарушения будут грозить компаниям штрафами. 
 
4. Подавать уведомления об обработке персональных данных в Роскомнадзор теперь нужно всегда, за исключением трех случаев:
  • обработка осуществляется исключительно ручным методом;
  • ситуация касается вопросов транспортной безопасности (должна присутствовать обязательная отсылка к законодательству РФ);
  • ситуация связана с вопросами государственной безопасности.
В остальных случаях нужно учитывать изменения в содержании уведомлений. В частности, оператор теперь обязан подробно описывать каждую цель обработки персональных данных: например, указывать категории субъектов данных, правовые основания, тип обработки и другую информацию. 
 
Также нужно указывать всех, кто получает доступ к данным: ФИО (если это физлицо) или зарегистрированное наименование организации. Любые изменения в уведомления нужно вносить не позднее 15 числа следующего месяца. 
 
Отдельно нужно уведомлять регулирующие органы о намерении осуществлять трансграничную передачу данных. Иностранные лица должны указать порядок обработки персональных данных в стране-получателе. 
 
5. Изменился регламент реагирования на инциденты. 
 
Теперь необходимо уведомить Роскомнадзор о нарушениях прав субъектов в течение суток. Дополнительно такая информация должна быть передана в ГосСОПКА (Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак). На решение проблемы дается 72 часа. 
 
Положения об оценке нанесенного вреда и уничтожении скомпрометированных данных пока готовятся законодателями. 
 
Охрана персональных данных
 
Персональные данные в последние годы стали одной из основных целей хакеров. Поэтому сейчас принимается ряд мер, нацеленных на ужесточение контроля за ними. 
 
Так, Минцифры России подготовило законопроект об увеличении штрафов за утечку пользовательских сведений – на сумму до 3% годового оборота бизнеса. А Роскомнадзор в случае утечки данных сотрудников и клиентов может проводить проверки аккредитованных ИТ-компаний.
 
Строгое соблюдение мер и требований закона № 152-ФЗ поможет компаниям снизить финансовые и репутационные риски в области работы с персональной информацией. 
 
Автор: Алексей Залецкий, руководитель департамента информационной безопасности, CorpSoft24
Источник: Иксмедиа

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 

Как строить личный бренд в 2024 году? Запись вебинара iTrend и РБК Компании

12 марта 2024

27 февраля 2024 года коммуникационное агентство iTrend и сервис РБК Компании провели вебинар «Новая искренность 2.0. Почему личный бренд — это тренд 2024?».

 

Проект «Облакотеки» и iTrend номинирован на премию «ЦОДы.РФ» в номинации «Креатив года»

12 марта 2024

Telegram-канал КучевыеАйТи, проект разработчика облачных сервисов «Облакотека» и коммуникационного агентства iTrend, номинирован на национальную премию «ЦОДы.РФ».

 
Все новости iTrend