Регуляторы со стороны Роскомнадзора (далее — РКН) и ФСБ серьезно взялись за организации, которые обрабатывают персональные данные (далее — ПДн). На это указывают новые документы, которые уже вступили в силу.
Обработку ПДн осуществляют операторы ПДн. Оператором может являться абсолютно любая компания, физическое или юридическое лицо, собирающие и обрабатывающие личные данные своих пользователей, клиентов или сотрудников.
Поэтому предложенные изменения затронули всех, кто обрабатывает ПДн, в особенности операторов, осуществляющих трансграничную передачу данных.
Такое внимание к защите личной информации человека не удивительно, ведь за последнее время случаи утечки, кражи и дальнейшего распространения значительно участились.
Например, совсем недавно утекло около миллиона данных пользователей МТС Банк. Это грозит серьезными атаками со стороны злоумышленников, которые получили доступ к данной информации.
Рассмотрим новые Приказы, которые предоставили регуляторы в лице РКН, ФСБ и Правительства РФ:
Данные документы касаются изменений 152 ФЗ, которые содержатся в 266 ФЗ от 14.07.2022 и вступили в силу 01.03.2023 года.
Изменения, которые несет в себе 266 ФЗ, очень важны для обеспечения защиты личной информации людей и действительно заставляют операторов ПДн уделять ей больше внимания.
Обратим внимание на требования нововведений и кратко выделим основное.
Для начала стоит отметить, что если ранее не всем нужно было уведомлять Роскомнадзор об обработке Пдн, то теперь, если организация каким-либо способом обрабатывает такую информацию, она обязана направить уведомление.
Уведомление содержит в себе большой объем информации об обработке и защите ПДн.
Данные постановления связаны с запрещением или ограничением трансграничной передачи данных.
Следует подчеркнуть, что при трансграничной передаче данных также необходимо направить уведомление в РКН.
Согласно документам РКН имеет возможность ограничить передачу ПДн, если посчитает нужным.
Со стороны РКН было выпущено огромное количество Приказов, которые играют значительную роль.
Приказ РКН №128 содержит в себе перечень иностранных государств, которые создают адекватную защиту прав субъектов ПДн.
Приказом №178 были введены новые правила оценки вреда.
Документ выделяет три степени вреда:
Результатом оценки должен быть Акт, содержащий в себе:
Если субъекту ПДн подходят все три степени вреда, то в Акте необходимо указать высокую степень.
Согласно 179 Приказу РКН, теперь не только необходимо удалять ПДн, но и обязательно хранить доказательства, подтверждающие факт удаления.
В качестве такого доказательства будет являться Акт уничтожения ПДн.
Приказ содержит в себе требования для правильного составления документа, а именно:
Если обработка ПДн производилась с помощью средств автоматизации, то вместо акта подойдет выгрузка из журнала событий. В Приказе также содержатся требования к данной выгрузке.
Акт уничтожения ПДн должен храниться не менее 3-х лет. Многие операторы ПДн и ранее составляли такие документы, но теперь это обязательно для всех.
Приказ РКН №187 содержит в себе порядок уведомления РКН об инцидентах.
Уведомление можно направить в бумажном виде или электронном с помощью формы, расположенной на сайте РКН.
Данное письмо необходимо направить первично в течение 24 часов, либо в случаи разногласий или уточнений дополнительно в течение 72 часов.
Первичное уведомление должно обязательно содержать в себе:
Дополнительное уведомление содержит информацию:
Завершающим изменения является документ со стороны ФСБ.
Они предоставили Приказ №77, который регламентирует порядок информирования регулятора об компьютерных инцидентах, поэтому теперь у операторов ИСПДн есть порядок взаимодействия с ГосСОПКА.
Как и предполагалось таких вариантов два: передавать информацию либо через НКЦКИ, либо через сайт РКН.
Уведомлять ФСБ необходимо в течение 24 часов с момента выявления компьютерного инцидента.
Вопрос о защите ПДн последнее время стоит очень остро, поэтому регуляторы стараются с помощью изменений в законодательстве обратить на это внимание операторов ПДн.
В начале августа 2023 года Роскомнадзор предоставил новые рекомендации по защите ПДн, они включают в себя:
Все эти требования также содержатся в нормативных документах, представленных регуляторами ранее. Роскомнадзор лишь еще раз подчеркнул важность соблюдение правил защиты ПДн.
Самым важным, что необходимо выделить из нововведений, является немедленное уведомление регулятора об инцидентах, которые произошли в компании.
Под инцидентом понимается любое событие, которое повлекло за собой какую-либо неправомерную передачу ПДн. Организациям необходимо стремиться к налаживанию системы защиты ПДн таким образом, чтобы время выявления инцидентов было минимальным.