Обзор изменений в законодательстве за август 2017 года

Дата: 05.09.2017
Автор: Александра Бурхайло, аналитик

Рекомендации Роскомнадзора по составлению политики обработки ПДн

Недавно Роскомнадзор подготовил и опубликовал на сайте Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Данные рекомендации предусматривают следующую структуру документа:

  1. Общие положения.
  2. Цели сбора персональных данных.
  3. Правовые основания обработки персональных данных.
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
  5. Порядок и условия обработки персональных данных.
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

Хотелось бы отметить, что после публикации данных рекомендаций операторам персональных данных стоит актуализировать свои политики и указать выше перечисленные пункты во избежание лишних вопросов со стороны надзорного ведомства, тем более, что недавние изменения в ст. 13.11 КоАП как раз предусматривают наложение административного штрафа за данное правонарушение, а именно за необеспечение неограниченного доступа к сведениям о реализуемых требованиях к защите персональных данных. К слову, максимальная санкция для юридических лиц составляет 30 000 рублей.

Роскомнадзор запретил сбор данных пользователей «ВКонтакте»

Роскомнадзор запретил сторонним компаниям собирать открытую персональную информацию пользователей «ВКонтакте». Об этом говорится в официальном разъяснении пресс-службы Роскомнадзора: «ФЗ „О персональных данных“ допускает обработку персональных данных (ПД), доступ к которым предоставил их владелец. В то же время, согласно ст. 6 закона, обработка такой информации разрешена только с согласия субъекта ПД. В соответствии с пунктом 5.12 пользовательского соглашения сети „ВКонтакте“ пользователь дает согласие только на доступ к информации, которую он размещает на персональной странице, в том числе к своим персональным данным, однако согласия на сбор, обработку и передачу третьим лицам пользователь не дает. Если это [сбор данных пользователей в соцсети] делалось ранее, то такая практика должна быть прекращена».

В соответствии с данным разъяснением получается, что при отсутствии волеизъявления гражданина его персональные данные, указанные на персональной странице, не могут храниться, обрабатываться и передаваться сторонними компаниями в собственных целях.

Хотелось бы опять же отметить, что недавние изменения в ст. 13.11 КоАП как раз предусматривают наложение административного штрафа за данное правонарушение, а именно за обработку персональных данных без согласия в письменной форме субъекта персональных данных (в случае, если не имеется иных оснований для обработки персональных данных, предусмотренных ст. 6 ФЗ-152). Максимальная санкция для юридических лиц составляет 75 000 рублей.

Подписан закон, запрещающий VPN-сервисы и анонимайзеры

Президент РФ подписал закон о внесении изменений в Федеральный закон «Об информации, информационных технологиях и защите информации», который вступит в силу с 1 ноября.

Таким образом, с 1 ноября 2017 года Роскомнадзор может блокировать сайты с информацией для обхода блокировок. Операторы поисковых систем вроде Google и Яндекс также будут обязаны блокировать ссылки на информационные ресурсы, включенные в перечень надзорного ведомства, доступ к которым ограничен на территории РФ.

Под действие закона попадают не только прокси и VPN-сервисы, но и анонимные сети, такие как Tor и I2P. Также под запрет могут попасть популярные браузеры Opera, Chrome и Safari, предлагающие встроенные способы обхода блокировок.

Эволюция отчетности по инцидентам Банка России

ЦБ выложил у себя на сайте проект указания Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У „Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», который меняет порядок отчетности по инцидентам в области информационной безопасности, установленную в 203-й форме.

Основных изменений в новой форме два:

  1. Переход от ежемесячной к ежеквартальной и полугодовой отчетности.
  2. Уход от подробной информации об инцидентах (исключение вопросов технической реализации инцидентов, указывающих на причины их возникновения) и сдвиг акцента в сторону указания финансовых потерь от инцидентов.

Предложения по проекту новой отчетности ЦБ принимает до 07.09.2017, новое указание вступит в силу с 01.01.2018 г.

Распределение новых полномочий

Сбербанк будет координировать развитие кибербезопасности в России. При Сбербанке будет создан Центр компетенций по информационной безопасности. Об этом сообщают «Известия» со ссылкой на источники в администрации президента РФ. Основная задача структуры — координировать реализацию раздела «Информационная безопасность» госпрограммы «Цифровая экономика». Ассоциация разработчиков программных продуктов «Отечественный софт» возглавит рабочую группу по информационной безопасности в рамках госпрограммы. Все проекты Центра компетенций по информационной безопасности будут согласовываться с рабочей группой.

ФСО получит полномочия по контролю информационной безопасности. Федеральная служба охраны (ФСО) будет участвовать в госполитике по контролю международной информационной безопасности. Соответствующий проект указа Президента России Владимира Путина опубликован на портале проектов нормативных правовых актов. Список полномочий службы дополнен участием в «проведении мероприятий по информационному противоборству» и обеспечение работы «ведомственного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, находящиеся в ведении ФСО». Сейчас ведомство разрабатывает сети специального назначения, федеральные информационные системы для госорганов и обеспечивает их безопасность, в том числе в военное время и при чрезвычайных ситуациях.

Хотелось бы отметить, что это не первое в этом году изменение полномочий ФСО, так, например, в июне Госдума приняла в третьем чтении расширяющие полномочия ФСО поправки, которые разрешают засекречивать персональные данные находящихся под охраной лиц и членов их семей.