Скандальная история с утечками в Сеть SMS, отправленных через сайт оператора «Мегафон», получила промежуточное завершение: гора российской юстиции родила мышь — штраф на 30 тысяч рублей за нарушение закона «О связи». Не о персональных данных, а как только лишь «О связи».
Интересно, что эта утечка (в результате которой во всеобщий доступ попало три тысячи личных сообщений преимущественно не слишком интеллектуального толка) случилась буквально накануне подписания Президентом РФ Д. Медведевым принятых Госдумой поправок к Федеральному закону №152-ФЗ «О персональных данных». Этим фактом, как сообщил в конце июля «Коммерсант», случившимися в тот период (за весьма короткий срок) утечками заинтересовались правоохранительные органы. Причём заинтересовались именно потому, что возникли подозрения в их неслучайности.
Сейчас поправки уже месяц как приняты, российская IT-сфера живёт по изменившимся правилам. Изменившимся насколько? Этот момент разъясняет Евгений Чугунов, эксперт направления информационной безопасности корпорации КРОК.
— В чём заключается основная значимость последних дополнений и поправок в Федеральный закон №152-ФЗ «О персональных данных»?
— В первую очередь, последние дополнения и поправки в ФЗ №152 скорректировали определение «персональные данные» (ПДн), обобщив его до понятия «любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу».
Кроме того, были учтены ключевые ошибки во взаимодействии операторов с субъектами персональных данных. Ранее закон обеспечивал существенный перевес в сторону субъекта и его прав. Сейчас взято направление на соблюдение баланса интересов операторов и субъектов.
Немаловажно, что в текущей редакции закона был определён порядок решения вопросов трансграничной передачи. В области обеспечения безопасности персональных данных наиболее значимой является возможность отраслевого выбора угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.
В текущей редакции также введено ограничение на возможности подзаконных актов по вопросам обработки ПДн: теперь они не могут возлагать на операторов обязанности, не предусмотренные законом.
— Что изменилось, и какую оценку этим изменениям вы можете дать?
— Появились послабления с точки зрения прав и свобод субъектов, и они были ожидаемы. К примеру, увеличены сроки реагирования на запросы субъекта; адаптирован к реальности перечень случаев, когда не требуется получения согласия субъектов на обработку персональных данных. Многие вопросы защиты персональных данных, которые ранее содержались в подзаконных нормативных актах, внесены в текст самого закона.
Несмотря на это, реальных существенных изменений не произошло. Например, в обязанности операторов, как и ранее, входит моделирование угроз безопасности ПДн, использование средств защиты информации, прошедших в установленном порядке оценку соответствия, и т.д. Кроме того, по закону Правительство должно установить уровни защищённости и требования, при этом закон позволяет переложить эти задачи на регуляторов.
При этом Постановления Правительства РФ №687, №781 и №512 сохраняют свою юридическую силу, так же как и документы, выпущенные ФСТЭК и ФСБ.
При рассмотрении закона в первом чтении сфера регулирования ФСТЭК и ФСБ распространялась только на государственные организации. В текущей редакции эти службы могут быть наделены полномочиями по контролю и надзору в коммерческом секторе. К примеру, Постановление Правительства №781 это и подразумевает, так как распространяется на все ИСПДн, вне зависимости от того, государственные они или нет. Хотя очевидно, что подзаконные акты требуют в связи с изменениями закона доработки и внесения ясности.
— Как новые изменения отразятся собственно на защите персональных данных конечных потребителей и как они могут сказаться на деятельности компаний, непосредственно связанных с работой с персональными данными? Что грозит нарушителям — не по букве закона, а фактически?
— На деятельность многих компаний, активно работающих с физическими лицами, данные послабления повлияют благотворно: они позволят избежать постоянного нарушения прежних положений закона в силу невозможности их выполнения, например в части получения согласия субъектов. Станет возможно сократить операционные затраты на реализацию и контроль выполнения множества механизмов взаимодействия с субъектом ПДн.
Фактическую ответственность нарушителей сможет продемонстрировать только судебная практика. На сегодняшний день уголовных дел, ведущих к закрытию бизнеса по причине пренебрежения положениями ФЗ №152, не было.
Практика реализации требований по безопасности ПДн, как и раньше, подразумевает моделирование угроз, проектирование системы защиты и прочее. В этой части не появилось послаблений, нормы остались теми же, мало того, они получили поддержку на уровне закона. Если говорить об изменениях в порядке взаимодействия с субъектами, то имеет смысл провести ревизию сделанных нормативных документов в области реализации прав и свобод субъектов ПДн на предмет их смягчения.
— Доводится слышать мнения, что формулировки закона слишком общие, требуется доработка и уточнения. Какова позиция спикера по этому вопросу? Если требуются дополнения, то какого рода?
— Как и для любого закона, необходима разработка подзаконных актов, актуализация уже существующих как на уровне Правительства, профильных ведомств, так и на отраслевом уровне. Во многом такая база уже наработана, и существует практика её применения.
— Непосредственно перед тем как ФЗ №152 был принят, разгорелся громкий скандал, связанный с ограниченной утечкой персональных данных в интернет: «утекло» порядка трёх тысяч SMS, отправленных через сайт оператора «Мегафон». Представители «Мегафона» между делом утверждали, что как такового нарушения закона «О персональных данных» в его актуальной на тот момент редакции не произошло. Так ли это? Как Вы полагаете, случайное ли это всё совпадение?
— Это, скорее, вопрос отношения к ситуации. Кто-то склонен верить в теорию заговора, а кто-то нет. Наиболее интересный момент здесь заключается в следующем: считают ли субъекты ПДн, что нарушены их права, и готовы ли они их защищать (обращаться в РКН или в суд)? Сложно утверждать, что произошло что-то сверхординарное, пока нет тех, кто готов отстаивать свои права.