Персональные данные. Дайджест за 1–13 августа 2023 г.
ПРИНЯТЫЕ АКТЫ
Опубликованы рекомендации Роскомнадзора операторам персональных данных в связи с участившимся случаями утечек данных
Роскомнадзором опубликованы рекомендации операторам при организации и осуществлении деятельности по обработке персональных данных.
Роскомнадзор объясняет необходимость в таких разъяснениях участившимися случаями неправомерного распространения персональных данных, а также результатами анализа содержания скомпрометированных баз данных.
Рекомендации состоят из восьми пунктов. Подробно ознакомиться с рекомендациями можно в нашем алерте.
08.08.2023 г. Роскомнадзор
ЗАКОНОПРОЕКТЫ, НОРМОТВОРЧЕСТВО
В Государственную Думу РФ внесен законопроект об особом порядке обработки персональных данных отдельных категорий лиц, определяемых Президентом Российской Федерации
Законопроектом предлагается внесение в ряд федеральных законов изменений, предусматривающих совершенствование норм в области защиты персональных данных отдельной категории лиц, определенной Президентом Российской Федерации, путем создания особого порядка их обработки.
Изменения предлагаются в следующие законы: Федеральный закон от 20 апреля 1995 года № 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов», Федеральный закон от 20 августа 2004 года №119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и т.д.
В частности, предлагается введение в Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – «152-ФЗ») статьи 13.1., предусматривающей обработку персональных данных отдельных категорий лиц, осуществляемую в особом порядке.
Законопроектом предусмотрено наделение Правительства РФ полномочиями по утверждению:
- порядка обработки персональных данных отдельных категорий лиц, в том числе порядка взаимодействия оператора персональных данных с уполномоченными федеральными органами исполнительной власти;
- критериев значимости информационных систем персональных, в которых осуществляется обработка персональных данных отдельной категории лиц, определенной Президентом Российской Федерации;
- порядка включения информационных систем персональных данных в реестр информационных систем, которым присвоят одну из категорий значимости и на которые будут распространяться требования проектируемой статьи 13.1 152-ФЗ. При этом установление порядка создания и ведения указанного реестра предполагается возложить на Минцифры;
- дополнительные требования к защите персональных данных отдельной категории лиц, определенной Президентом Российской Федерации, при их обработке в информационных системах персональных данных, исполнение которых обеспечивает защищенность персональных данных в зависимости от критериев значимости информационных систем персональных данных.
Кроме того, законопроектом предусмотрено право федеральных органов исполнительной власти в области обороны, обеспечения безопасности, государственной охраны, в сфере внутренних дел, органов внешней разведки Российской Федерации направлять оператору соответствующей информационной системы персональных данных, включенной в реестр информационных систем персональных данных в соответствии с проектируемой статьей 19.1 152-ФЗ, требование о предоставлении доступа к таким информационным системам, уточнении, извлечении, обезличивании, блокировании, удалении или уничтожении персональных данных, а также восстановлении уточненных, извлеченных, обезличенных или заблокированных персональных данных и дополнении ранее неучтенными персональными данными отдельных категорий лиц. (Законопроект № 416441-8 «О внесении изменений в отдельные законодательные акты Российской Федерации»)
03.08.2023 г. СОЗД ГАС «Законотворчество»
СУДЕБНАЯ ПРАКТИКА И АДМИНИСТРАТИВНЫЕ ДЕЛА
Управлением Роскомнадзора проведено мероприятие по контролю без взаимодействия с контролируемым лицом в отношении турагенства
Управлением Роскомнадзора по Южному федеральному округу в отношении ООО «НИКа-М» проведено мероприятие по контролю без взаимодействия с контролируемым лицом на предмет соблюдения требований законодательства в сфере обработки персональных данных.
По итогам анализа официального интернет-ресурса ООО «НИКа-М» были выявлены признаки нарушения ч. 1 ст. 6, ч. 5 ст. 18 и ч. 1 ст. 18.1 152-ФЗ.
В адрес ООО «НИКа-М» было направлено требование об устранении признаков нарушений законодательства в области персональных данных. В соответствии с поступившей информацией и анализом сайта установлено, что нарушения устранены.
11.08.2023 г. Роскомнадзор
НОВОСТИ И СОБЫТИЯ
Пользователи портала «Госуслуги» самостоятельно вносят данные о фактическом месте проживания
Минцифры опровергло распространенную в СМИ информацию о том, что портал «Госуслуги» стал сам указывать в профилях пользователей данные об их фактическом месте проживания. Минцифры указало в своем Telegram-канале, что пользователи самостоятельно вносят эти данные.
04.08.2023 г. ТАСС
В Государственной Думе РФ предложили маркировать компании, допустившие утечку персональных данных
Заместитель председателя Государственной Думы РФ направил министру Минцифры письмо с предложением разработать и внедрить специальный знак «ненадежного оператора» для компаний, допустивших утечку персональных данных клиентов.
Предполагается, что инициатива может повысить информированность особо уязвимых категорий субъектов персональных данных.
07.08.2023 г. ТАСС
Роскомнадзор начал требовать от операторов связи блокировки номеров абонентов, в которых указаны неактуальные персональные данные
С августа Роскомнадзор требует от операторов связи отключать номера абонентов с неактуальными персональными данными. Речь идет не только о номерах абонентов (физических лиц), но и о корпоративных номерах.
В течение 3 дней с момента получения списка номеров от Роскомнадзора компания должна уведомить абонента (подпункт ж. п.24 Постановления Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи»).
Затем у абонента есть 15 дней, чтобы актуализировать информацию о себе на портале «Госуслуг», через приложение оператора или в салоне связи (абзац 9 п. 1 ст. 46 Федерального закона «О связи» от 07.07.2003 № 126-ФЗ (далее – «126- ФЗ»). В противном случае его номер будет заблокирован.
Кроме этого, с 1 сентября 2023 г. в соответствии Федеральным законом от 04.08.2023 № 473-ФЗ «О внесении изменений в Федеральный закон «О связи» с вступают в силу положения о том, что оператор связи обязан направить в порядке, установленном Правительством РФ, в радиочастотную службу (Федеральное государственное унитарное предприятие «Главный радиочастотный центр» (ФГУП «ГРЧЦ») –подведомственное Роскомнадзору) уведомление в электронной форме о дате начала оказания услуг по предоставлению доступа к информационно-телекоммуникационной сети «Интернет» не менее чем за 90 дней до начала оказания таких услуг.
07.08.2023 г. Ведомости
Бизнес раскритиковал поправки об оборотных штрафах за утечки данных
Ассоциация Больших Данных (объединяет «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», QIWI, билайн, «МТС», «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок) (далее – «АБД») 4 августа направила в Правительство РФ, Минцифры, Минэкономразвития и Минюст письма с отзывом на законопроект, предусматривающий оборотные штрафы за утечку персональных данных.
Законопроект не достигает своей цели, считают в АБД. В пояснительной записке указано, что документ должен «стимулировать бизнес инвестировать в развитие инфраструктуры ИБ и защиту персональных данных своих пользователей». Однако неопределенность состава правонарушения в законопроекте фактически приводит к введению безвиновной ответственности для бизнеса, так как независимо от причин утечки ответственность возлагается на компанию, считают в АБД.
Кроме того, АБД опасается, что принятие законопроекта в текущем виде может привести к снижению инвестиций в защиту персональных данных, так ответственность без вины не дает бизнесу стимулов для усиления безопасности. Даже если компания выполнит все возможные требования по защите данных своих сотрудников и клиентов, то в случае взлома она все равно будет привлечена к ответственности.
В Минэкономразвития отметили, что готовы вместе с коллегами из других ведомств «обсуждать обеспокоенность бизнеса для выработки редакции законопроекта, которая обеспечит и сохранность данных, и возможность для отрасли развиваться».
08.08.2023 г. РБК
Роскомнадзор рекомендует компаниям отказаться от VPN с использованием зарубежных серверов
Роскомнадзор рекомендовал российским компаниями ускорить перевод информационных систем, протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории России.
Роскомнадзор заявил, что применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несет в себе существенные риски утечки личной, корпоративной и иной информации.
10.08.2023 г. Интерфакс