Обзор изменений в законодательстве за январь 2021

Изменения в законе о персональных данных

В преддверии нового года был опубликован Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» от 30.12.2020 №519-ФЗ (далее – ФЗ №519), меняющий понятийный аппарат Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее – ФЗ №152).

С 1 марта 2021 г. утрачивает силу дефиниция «персональные данные (далее – ПДн), сделанные общедоступными субъектом ПДн». Вместо упомянутых ранее ПДн вводится понятие «ПДн, разрешенные субъектом ПДн для распространения». ПДн, разрешенные субъектом ПДн для распространения, – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи соответствующего согласия. При этом в ФЗ №152 все еще присутствует норма об общедоступных источниках ПДн, которые, в частности, упоминаются в Постановлении Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Вопрос, как классифицировать информационные системы, обрабатывающие ПДн, разрешенные субъектом ПДн для распространения, пока остается открытым.

К основным особенностям обработки ПДн, разрешенных субъектом ПДн для распространения, вводимых ФЗ №519 относятся:

• Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Требования к содержанию согласия будут определены Роскомнадзором. Согласие на обработку ПДн, разрешенных для распространения, может быть предоставлено непосредственно оператору, а с 01.07.2021 также с использованием специализированной информационной системы Роскомнадзора.
• Установлено явное требование по «активному» предоставлению согласия на обработку ПДн субъектом ПДн, т.е. молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
• Субъект ПДн вправе определить в согласии категории и перечень ПДн, для обработки которых устанавливаются условия и запреты, а также перечень устанавливаемых условий и запретов. Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению ПДн неограниченному или определенному кругу лиц соответственно.

Изменения, вводимые ФЗ №519, как отмечается экспертным сообществом, могут повлечь за собой неоднозначность трактования требований, а также появление возможных противоречий в исполнение требований. В частности, согласно статье 3 ФЗ №152 передача ПДн (предоставление, распространение ПДн, а также доступ к ПДн) является способом обработки ПДн, при этом это не исчерпывающий перечень действий по обработке ПДн. Однако в статье, регулирующей особенности обработки ПДн, разрешенных субъектом ПДн для распространения, упоминается не только распространение ПДн, но и иная обработка ПДн. Что достаточно странно, если речь идет только о действиях, направленных на определение состава ПДн к раскрытию неопределенному кругу лиц.

Кроме того, если из согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не определил запреты и условия на обработку ПДн, такие ПДн обрабатываются оператором, которому они предоставлены субъектом ПДн, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц. Т.е. некорректно составленное согласие, направленное на разрешение субъектом распространения ПДн, может это распространение и ограничить.

Согласие на обработку ПДн, разрешенных для распространения

Как и следовало ожидать, 27 января 2021 года Роскомнадзор представил проект Приказа «Об установлении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения» (далее – Проект Приказа).

Согласно Проекту Приказа упомянутое ранее согласие должно включать в себя:

• фамилию, имя, отчество субъекта ПДн и его контактную информацию;
• наименование или фамилию, имя, отчество ‎и адрес оператора, получающего согласие субъекта ПДн;
• цель (цели) обработки ПДн;
• категории и перечень ПДн, на обработку которых дается согласие;
• категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
• срок, в течение которого действует согласие;
• сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн.

Стоит обратить внимание, что Проект Приказа вводит некоторую детализацию понятия – категории ПДн, а также уточняет какие ПДн относятся к той или иной категории. По Проекту Приказа выделяются следующие категории ПДн: общие ПДн, специальные категории ПДн и биометрические ПДн. Таким образом по Проекту Приказа:

• Общие ПДн – это фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту ПДн.
• Специальные категории ПДн – расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости.
• Биометрические ПДн – ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения.

Интересно, что ранее в нормативно-правовых актах по обработке ПДн категория «общие ПДн» не применялась, а перечень биометрических ПДн содержит упоминание цифровых фотографий изображения лица, без каких-либо дополнительных атрибутов отнесения их к биометрическим ПДн. Также стоит отметить, что сам ФЗ №519, вводящий необходимость согласия из Проекта Приказа, вступил в силу 1 марта 2021 года, однако требования к содержанию согласия к указанной дате все еще находились в проекте.

Обработка инцидентов информационной безопасности в ИСПДн

Кроме того, изменения в ФЗ №152 были внесены и опубликованным 30 декабря 2020 года Федеральным законом от 30.12.2020 №515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности».

Теперь в ФЗ №152 в меры по обеспечению безопасности ПДн при их обработке, кроме обнаружения фактов несанкционированного доступа к ПДн, включены и меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них.

ФСБ России и электронная подпись

В конце уходящего 2020 года – 31 декабря, официально были опубликованы приказы ФСБ России, регулирующие вопросы, связанные с электронной подписью (далее – ЭП), и вступающие в силу в январе 2021 года:

• Приказ ФСБ России от 04.12.2020 №554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».
• Приказ ФСБ России от 04.12.2020 №555 «О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. №796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
• Приказ ФСБ России от 04.12.2020 №556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».

А уже в январе 2021 года ФСБ России представило к публичному обсуждению проекты ведомственных актов также в области ЭП:

• О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. №554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».
• О внесении изменения в приказ ФСБ России от 4 декабря 2020 г. №555 «О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. №796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
• О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. №556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
• Об утверждении правил подтверждения владения ключом электронной подписи.

Лицензирование деятельности по разработке СКЗИ

25 января 2021 года официально опубликован приказ ФСБ России от 29.12.2020 №641 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» (далее – Приказ ФСБ России №641).

Приказ ФСБ России №641 определяет новый административный регламент по лицензированию деятельности по разработке, производству, распространению средств криптографической защиты информации (далее – СКЗИ). Также утрачивает силу Приказ ФСБ России от 30 августа 2012 г. №440, утверждающий предыдущий административный регламент по оказанию государственной услуги. Заявителям на лицензируемые виды деятельности стоит обратить внимание на изменения в формы заявлений в ФСБ России, требования к которым предъявляются в зависимости от оказываемой государственной услуги.

Обеспечение безопасности операторами финансовых платформ

28 января 2021 года официально опубликовано Положение Банка России от 03.12.2020 №742-П «О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой платформы» (далее – Положение Банка России №742-П).

Стоит отметить, что о проекте Положения Банка России №742-П мы уже писали ранее в октябре 2020 года, но на тот момент оно было Указанием «О ведении Банком России реестра операторов финансовых платформ, о требованиях к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации, и о требованиях к порядку регистрации Банком России изменений в правила финансовых платформ».

В целом, основной подход к требованиям по защите информации, которые должны выполнять юридические лица, намеревающиеся получить статус оператора финансовой платформы (далее – соискатель), с проекта не изменился, но теперь это конкретные указания к выполнению определенных норм по ИБ для конкретных объектов защиты. Так по Положению Банка России №742-П:

• Защита информации должна осуществляться в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1-2017).
• Требования ГОСТ Р 57580.1-2017 должны применяться по результатам определения применимого к соискателю уровня защиты информации, предусмотренного ГОСТ Р 57580.1-2017.
• Соискатель должен обеспечить уровень соответствия не ниже третьего согласно национальному стандарту Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»).

Как и было в проекте Положения Банка России №742-П оценка соответствия по направлению «безопасность информационной инфраструктуры» должна осуществляться с привлечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.