СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
RTM Group
24.04.2023
#Dev#ИБ

Новости в сфере информационного права

Новости в сфере информационного права

Изображение: RTM Group

На отрасль информационного права в последние месяцы серьезно повлияло активное развитие цифровизации, с одной стороны, геополитическая ситуация и последовавшие за этим события – с другой. Обеспечение информационной безопасности теперь является одной из ключевых задач государства.

Законодательные основы для этого были заложены в Указе № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ». Кроме того, утечки персональных данных — один из проблемных вопросов по ИБ. В статье ниже вместе с Карине Маргарян, старшим юристом RTM Group, мы поговорим об основных новостях и изменениях в сфере информационного права.

По данным компании Group-IB, объем утечек персональных данных россиян в 2022 г. вырос в 40 раз по сравнению с предыдущим годом. В открытый доступ попала информация примерно 100 млн человек.

Исследование DLBI показало, что в первом квартале 2023 г. объем утечек данных россиян вырос в 2,3 раза по сравнению с аналогичным периодом прошлого года.

Развитие регуляторики по защите персональных данных началось в прошлом году и активно продолжается в 2023 г.

Обзор изменений законодательства

Изменения, вступившие (или вступающие) в силу в 2023 г.

Внеплановые проверки операторов ПДн Роскомнадзором

Постановление Правительства РФ № 161 от 04.02.2023г. «О внесении изменений в некоторые акты Правительства РФ» предоставило Роскомнадзору возможность осуществлять внеплановые контрольные (надзорные) мероприятия, внеплановые проверки по фактам утечки ПДн в сеть «Интернет» (при согласовании с органами прокуратуры). Такие же проверки могут проводится в отношении аккредитованных ИТ-компаний.

Использование иностранных сервисов

1 марта 2023 г. вступили в силу изменения в Федеральном законе «Об информации, информационных технологиях и о защите информации». Документ устанавливает запрет для ряда российских организаций на использование иностранных мессенджеров.

Запрет касается:

  • государственных, унитарных и муниципальных организаций;
  • организаций, у которых есть государственная или муниципальная доля 50% и более;
  • финансовых и страховых организаций.

В настоящее время в списке следующие сервисы:

  1. Discord;
  2. Microsoft Teams;
  3. Skype for Business;
  4. Snapchat;
  5. Telegram;
  6. Threema;
  7. Viber;
  8. WhatsApp;
  9. WeChat.

Порядок взаимодействия операторов ПДн с ГосСОПКА

1 марта 2023 г. вступил в силу приказ ФСБ РФ № 77 от 13.02.2023 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».

Документ устанавливает обязанность операторов персональных данных, у которых уже организованы каналы информационного взаимодействия с Национальным координационным центром по компьютерным инцидентам (например, субъекты критической информационной инфраструктуры), направлять информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, в ГосСОПКА.

Трансграничная передача

Также 1 марта 2023 г. вступили в силу Правила о трансграничной передаче персональных данных россиян.

Всем операторам ПДн необходимо было до 1 марта 2023 г. направить в Роскомнадзор уведомление о такой передаче. Регулятор вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. До истечения 10 рабочих дней после подачи уведомления будет запрещено передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных. Операторам, которые подали уведомление о трансграничной передаче до 1 марта, не нужно подавать новое, пока в их деятельности не произойдут изменения, предполагающие создание новых трансграничных потоков данных, — в новые страны или для новых целей.

Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн

С 1 марта 2023 г. действует Постановление Правительства РФ от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных». Регулятор принимает решение на основании поступивших представлений от федеральных органов исполнительной власти.

Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан

1 марта 2023 г. вступило в силу Постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Запрет или ограничение могут быть установлены, в частности, если органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача, не принимаются меры по защите передаваемых ПДн, а также не определены условия прекращения их обработки.

Уничтожение персональных данных

С 1 марта 2023 года действует приказ Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

Согласно новым требованиям, при оформлении документа операторам нужно обратить внимание на то, как осуществляется обработка персональных данных:

  • В случае использования средств автоматизации или смешанной обработки, подтверждением уничтожения персональных данных субъектов могут стать акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных;
  • В случае невозможности указания в выгрузке из журнала каких-либо сведений, подтверждением будут оба способа, независимо от того, как обрабатываются ПД. Если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.

Биометрические персональные данные

Одним из значимых событий в данном сегменте станет вступление в силу с 1 июня 2023 года постановления Правительства РФ №405 от 17.03.2023, утверждающее порядок получения согласия физического лица на размещение его биометрических ПДн в региональном сегменте единой биометрической системы (ЕБС), а также порядок передачи и обработки биометрических ПДн в ЕБС.

Также в первый день лета вступит в силу Постановление Правительства РФ от 27.03.2023 № 478, утвердившее правила представления физическим лицом в МФЦ отказа от сбора и размещения биометрических ПДн в целях проведения идентификации и (или) аутентификации и отзыва такого отказа.

Постановление Правительства РФ от 24.03.2023 № 451 устанавливает порядок направления оператором регионального сегмента ЕБС мотивированного запроса оператору ЕБС о предоставлении информации о результатах проверки соответствия предоставленной биометрии физического лица его биометрии, содержащейся в ЕБС.

Законопроекты и обсуждения

Уголовная ответственность за незаконный оборот ПД

Правительство одобрило концепцию законопроекта, предусматривающего уголовную ответственность за незаконный оборот краденых персональных данных. Целью документа является ужесточение наказания за противоправные действия с использованием незаконно добытой информации. Речь может идти также о персональной уголовной ответственности для тех, кто передает персональные данные граждан другим лицам; для покупателей этих данных и для тех, чья халатность сделала это возможным.

Ответственность за нарушение законодательства в сфере ПДн

В феврале 2023 г. было подписано постановление Государственной Думы от 22.02.2023 № 3124-8 ГД с рекомендациями:

  • Правительству РФ разработать и в начале 2023 г. передать в Государственную Думу проекты федеральных законов, предусматривающие внесение изменений в Кодекс РФ об административных правонарушениях в части введения для лиц, совершивших нарушения законодательства РФ в сфере обработки ПДн, биометрических ПДн, оборотных административных штрафов, а также внесение изменений в Уголовный кодекс РФ в части введения уголовной ответственности за незаконную обработку биометрических ПДн в случае возникновения соответствующих общественно опасных последствий;
  • Минцифры России необходимо рассмотреть вопрос о подготовке проекта федерального закона, предусматривающего компенсацию вреда физическим лицам со стороны операторов ПДн, допустивших утечку ПДн, в том числе в досудебном порядке.

Выводы и рекомендации

На законодательство в сфере ИБ серьезно повлиял указ Президента №250 от 01.02.2022 г. «О дополнительных мерах по обеспечению информационной безопасности РФ», изменивший подход к обеспечению кибербезопасности в российских компаниях. Этот вектор будет продолжен в дальнейшем, в частности, через издание нормативных актов.

Безусловным трендом становится ужесточение ответственности за нарушение законодательства в области персональных данных.

Учитывая уже принятые законы и обсуждаемые законопроекты, в частности, введение оборотных штрафов за утечки персональных данных, уголовной ответственности, усиление административной ответственности, возможность внеплановых проверок регулятора, а также увеличение количество атак и утечек персональных данных, компаниям необходимо более тщательно подходить к вопросам защиты чувствительной информации. Меры по сбору, обработке, хранению и другим действиям с ПДн должны быть разработаны и приняты реально, а не с формальной точки зрения.

Операторам персональных данных, осуществляющим трансграничную передачу, следует учесть новые требования законодательства и подать соответствующее уведомление в Роскомнадзор. Нормы закона касаются передачи в рамках договоров поручения.

Автор — Карине Маргарян, старший юрист RTM Group.

RTM Group
Автор: RTM Group
RTM Group — ведущая консалтинговая компания в области информационной безопасности, судебной экспертизы и ИТ-права.
Комментарии: