Он предлагает крупнейшие изменения в области персональных данных за последние 10 лет:

1. Вводится экстерриториальный эффект применения 152-ФЗ. По аналогии с GDPR, иностранные компании, работающие с персональными данных граждан РФ, могут попасть под действие закона, вне зависимости от наличия представительств на территории России.

2. Разрешительная система на трансграничную передачу персональных данных в страны, не обеспечивающие адекватную защиту персональных данных и не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

3. Сокращение времени реагирования на запросы субъектов персональных данных и Роскомнадзора с 30 календарных до 10 рабочих дней.

4. Расширение обязанностей обработчиков персональных данных.

5. Уменьшение количества исключений, когда можно было не подавать в РКН уведомление об обработке. Прослеживается четкий тренд на полный отказ от них.

6. Уведомление об обработке, подаваемое оператором персональных данных в Роскомнадзор, станет сильно объемнее.

7. Необходимо будет уведомлять об инцидентах безопасности персональных данных Роскомнадзор и непрерывно взаимодействовать с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак).

Что это означает для участников обработки – операторов, субъектов, обработчиков и самого Роскомнадзора – разбирались с экспертами в прямом эфире ток-шоу Код ИБ | БЕЗОПАСНАЯ СРЕДА.

Уведомление и учет инцидентов

Роскомнадзор будет вести учет инцидентов безопасности персональных данных. Уведомить об инциденте необходимо будет в течение 24 часов и сообщить, что за это время сделано для снижения риска субъектов и какой ущерб мог быть им нанесен:

• что произошло;

• когда произошло;

• какой риск для субъекта персональных данных;

• что было предпринято.

Формы уведомления пока нет.

24 часа в текущей формулировке отсчитываются с момента инцидента, а не его обнаружения.

Уведомлять или не уведомлять?

С одной стороны, за не уведомление об инциденте, вероятнее всего, будет предусмотрен штраф.

С другой стороны, в законопроекте прописаны полномочия ФСБ и ФСТЭК по проверке оператора, причем инцидент будет основанием для внеплановой проверки, которая также с большой вероятностью закончится штрафом, потому что сам факт утечки свидетельствует о нарушениях в организации защиты.

По каким критериям определять инцидент?

Базовый критерий - нарушение характеристик безопасности (конфиденциальности, доступности, целостности). Говоря об утечках, имеем в виду только конфиденциальность, т в законопроекте речь идет именно об этом - о неправомерном раскрытии.

В КИИ есть понятие инцидента информационной безопасности, а есть понятие компьютерный инцидент, и они различаются, как и различаются стандарты по их мониторингу. Как будет в случае с персональными данными - непонятно, потому что ИСПДН может быть одновременно объектом КИИ.

Четких критериев, что считать инцидентом, пока нет, как их нет даже для КИИ. Например, считать ли компьютерным инцидентом технические неисправности, приведшие к утечке данных? Считать ли это атакой?

С учетом штрафов проще будет сообщать обо всём, что, впрочем, может быть повернуто против оператора по ст. 19.7 КоАП.

Взаимодействие с ГосСОПКА

Введение прямого взаимодействия с ГосСОПКА для всех операторов и обработчиков персональных данных (а из около 6 млн) маловероятно:

• для такого числа операторов нет СКЗИ для организации каналов взаимодействия;

• нет ресурсов у провайдеров услуг по организации канало взаимодействия;

• ГосСОПКА создана и «заточена» под компьютерные атаки. Утечки не обязательно (и не всегда) происходят в результате атаки. В таком случае базы ГосСОПКА будут наполняться ненужной информацией, которую сложно категорировать.

Вероятнее всего, Роскомнадзор будет выполнять функции фильтра, передавая информацию об атаках, ставших причиной утечек, в ГосСОПКА, аккумулируя остальную информацию об утечках в своем реестре. Также вероятно, что будет введена дифференциация по операторам в зависимости от размера, объема и состава обрабатываемых данных - для кого-то обязательно, кому-то по желанию, но все будут отчитываться в реестр Роскомнадзора. В любом случае речь идет о десятках тысяч компаний.

Надо ли будет всем получать лицензию для работы с СКЗИ?

Вероятно, нет, если деятельность не связана с оказанием услуг по защите информации. Лицензии понадобятся тем, кто будет оказывать услуги по организации защищенных каналов связи (см. напр., Информационное сообщение ФСТЭК России от 30.05.2012 N 240/22/2222 «По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации»)

Как должен оцениваться риск для субъектов?

Роскомнадзор будет готовить рекомендации. Есть методики, выпущенные в рамках GDPR.

Есть вероятность что расчет будет строиться исходя из масштаба системы и вреда, уйдя от возможности оператора определять его субъективно - на основе пороговых значений каких-либо критериев (количество пострадавших, объем, утечка из нелокализованных баз, групп субъектов, объем данных, территориальные признаки).

Как фиксировать момент инцидента?

Все требования к оповещению, приведенные в GDPR и нормативной базе по КИИ – с момента обнаружения. Это приводит к ситуациям, когда момент обнаружения искусственно затягивается для того, чтобы не нарушить жесткие ограничения по времени: плохо построил процесс, ничего не выявил - и наказать формально нельзя.

Для выявления в момент утечки потребуется система мониторинга (скорее всего, аттестованная), которая проводит отбор событий безопасности и выделение из них инцидентов, потребуется персонал, который сможет этой системой оперировать. В таком случае обойти ограничения будет технически сложнее, но внедрение таких систем потребует затрат, весьма существенных для мелких операторов.

Очевидно, что есть недопонимание формулировки. Возможно, это сделано специально, возможно – это неточность.

Штрафы: за утечку или за что-то иное?

По словам главы Минцифры М. Шадаева, существующие штрафы не оказывают влияния на бизнес в плане предотвращения утечек персональных данных, поэтому планируется внести на рассмотрение законопроект о введение оборотных штрафов за нарушения, которые будут ощутимыми для операторов ("…мы понимаем, и последние массовые утечки говорят о том, что, конечно, те штрафы, которые мы в два раза увеличили, ситуацию кардинальным образом не спасают. Поэтому будем просить в этом году, совместно с Роскомнадзором будем выходить с инициативой все-таки вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных").

По мнению экспертов эфира, штрафы все же будут введены хотя массовой практики не ожидается.

Следует отметить, что в Европе за саму утечку штрафов не предусмотрено. Штрафуют либо за непринятие мер по обеспечению безопасности, либо за не уведомление надзорного органа и субъекта. За что именно налагать штрафы предложит Минцифры, пока неясно. Логично предположить, что штраф должен быть наложен за несоблюдение требований законодательства, а субъекту надо выплачивать компенсацию ущерба, например, по решению суда в результате иска субъекта.

Как рассчитывать ущерб для субъекта персональных данных?

По европейской практике, ущерб оценивается исходя из суммы 500-1000 евро на человека. В РФ есть судебная практика компенсации морального вреда – 20-30 тыс.р.

Может ли всё измениться?

По мнению экспертов, законопроекту пока не хватает внутренней логики: часть требований противоречит здравому смыслу и друг другу, часть, наоборот, отсутствует. Вероятнее всего, он будет дорабатываться, и может поменяться буквально в последнем чтении, как это произошло в 2011 году. На сегодняшний день известна дата первого чтения – 18 мая.

В любом случае, принятие его в каком бы то ни было виде вызовет новый виток интереса к теме персональных данных, увеличение количества работы для ответственных, необходимость выделения дополнительных бюджетов. Также вероятно совершенствование схем обхода ограничений либо их формальное соблюдение с утратой влияния ответственных за защиту информации на повестку бизнеса.