1. Планируются изменения в 152-ФЗ
Опубликованы проекты двух документов, которые предлагают внести изменения в требования 152-ФЗ «О персональных данных» и в КоАП в части штрафов за их невыполнение:
- Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)»
- Проект Федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»
Если предлагаемые изменения вступят в силу, то оператор, поручающий обработку ПДн третьему лицу, будет обязан надлежащим образом контролировать, что это третье лицо выполняет все установленные требования и не нарушает 152-ФЗ. А за нарушения можно будет и штраф получить, причем как оператору, так и обработчику ПДн (самое большее – до 30 тысяч рублей для юридических лиц).
На текущий момент в случае, если между оператором и обработчиком заключено «Поручительство об обработке ПДн», ответственность за выполнение установленных требований 152-ФЗ лежит не на операторе ПДн (т.е. не на том, кто поручил обработку), а на обработчике (т.е. на том, кому поручили обработку).
Однако пока неясно, как именно будет осуществляться контроль надлежащего исполнения требований. Возможно стоит ожидать новых проектов нормативных актов, закрепляющих данную процедуру, либо все сведется к бюрократическим формальностям.
2. Запуск Единой биометрической системы идентификации личности – 1 июля 2018 г.
В соответствии с Федеральным законом от 31.12.2017 №482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», с 1 июля на коммерческой основе запускается Единая биометрическая система идентификации личности (ЕБС). Это означает, что госорганы, банки и иные организации получают право собирать биометрические данные граждан и устанавливать по ним личность.
Для проекта на государственном уровне выбраны два типа биометрии: голос и лицо, причем не по отдельности, а вместе. В будущем возможно подключение других биометрий, в частности, радужной оболочки глаз и рисунков вен.
Оператором системы назначен ПАО «Ростелеком». Он и обеспечит сбор, обработку и хранение биометрических ПДн и их проверку.
На начальном этапе введения системы клиентам будут доступны только простые операции вроде перевода внутри своих счетов, в дальнейшем с ее помощью можно будет оформлять кредиты и ипотеки. В перспективе систему планируют распространить на госуслуги, образование, здравоохранение и другие сферы.
В рамках этой деятельности также опубликовано несколько сопутствующих документов. В отношении информационных технологий и средств, которые обрабатывают биометрические ПДн, определяются требования и формы соответствия этим требованиям.
Касательно же граждан РФ определяется порядок обработки биометрических ПДн, а также установления взаимного соответствия предоставляемых ПДн и данных из ЕБС.
Немного подробнее…
Утверждены следующие приказы Минкомсвязи:
Порядок определяет процедуру обработки параметров биометрических ПДн, а также их размещения и обновления в ЕБС.
Так, с Вас возьмут изображение лица и запись голоса при Вашем личном присутствии. Затем данные автоматически проверяются, и создается биометрический шаблон. Хранить его будут не менее 50 лет, а вот идентифицировать личность можно не более 3 лет со дня сбора сведений. Однако Вы всегда можете обновить ПДн по истечении этого срока.
Данные будут размещаться в ЕБС, если гражданин РФ прошел процедуру регистрации в единой системе идентификации и аутентификации сведений (ЕСИА).
Кроме того, приказом утверждены требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в указанных целях.
Утверждены формулы определения степени взаимного соответствия предоставленных ПДн и данных, хранящихся в ЕБС.
Оператор ЕБС предоставляет государственным органам, банкам и иным организациям результаты проверки биометрических ПДн гражданина без его личного присутствия только в том случае, если степень взаимного соответствия не ниже 0,9999.
Утверждены типовые шаблоны для подтверждения соответствия установленным требованиям информационных технологий и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации.
Если банк запрашивает сведения о степени соответствия биометрических ПДн гражданина сведениям, содержащимся в ЕБС, ему придется заплатить 200 рублей при каждом обращении.
Приняты следующие Постановления:
Определены правила фиксирования действий уполномоченных сотрудников госорганов, банков и иных организаций при размещении ими биометрических ПДн граждан РФ в ЕБС и ЕСИА:
- должна проводиться идентификация и аутентификация сотрудника по его номеру СНИЛС;
- действия сотрудников должны протоколироваться в электронной форме.
Органы и организации должны обеспечивать хранение указанной информации в течение 5 лет с даты размещения сведений о гражданине.
В Постановлении определен состав сведений, размещаемых в ЕБС и ЕСИА, а именно:
- биометрические ПДн физического лица – гражданина РФ (изображение лица и запись голоса);
- основной государственный регистрационный номер записи о создании юридического лица, разместившего биометрические ПДн гражданина в ЕБС;
- СНИЛС уполномоченного сотрудника, разместившего биометрические ПДн;
- идентификатор учетной записи в ЕСИА.
Перед размещением сведений в ЕСИА и ЕБС уполномоченные госорганы и организации проводят идентификацию граждан в соответствии с закрепленными требованиями.
Требования применяются при идентификации, проводимой при личном присутствии гражданина. Будет также проверяться, что гражданин не включен в перечень физлиц, причастных к экстремизму или терроризму. В Постановлении перечислены сведения и документы, которые предоставляют граждане при процедуре идентификации.
С хранением информации о гражданах связаны и не стихающие обсуждения нашумевшего «пакета Яровой»
3. С 01.07.2018 г. вступили в силу требования к хранению сообщений по пакету законов о противодействии терроризму
Вступил в силу абзац 4 подпункта «а» пункта 2 статьи 13 и абзац 4 пункта 1 статьи 15 Федерального закона от 06.07.2016 № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» <…>» – так называемого «пакета Яровой».
Это означает, что операторы связи обязаны начать хранить данные своих пользователей, включая записи разговоров, переписку, видео, изображения и сопутствующую информацию. Хранить все это придется в течение полугода.
А вот уровень ответственности операторов и интернет-компаний за неисполнение требований «закона Яровой» до сих пор не определен.
Кроме того, 26 июня 2018 года правительство РФ опубликовало Постановление Правительства РФ от 26.06.2018 №728 «Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети Интернет <…>», которое разъясняет нормы «пакета Яровой» в отношении интернет-сайтов, мессенджеров и других сервисов. В документе уточняется, что все организаторы распространения информации обязаны хранить трафик пользователей в течение шести месяцев. Речь идёт о голосовой информации, изображениях, звуках, видеозаписях и электронных сообщениях интернет-пользователей.
Это серьёзное ужесточение «пакета Яровой» с учётом того, что от интернет-провайдеров требуется хранить трафик пользователей только в течение 1 месяца.
Однако в соответствии с п.2 документа, данные требования распространяются только на граждан РФ. Это означает, что если вы пользуетесь зарубежным VPN, то на вас правила могут не распространяться. В этом случае сайты и мессенджеры не обязаны хранить ваши сообщения.
А тем временем назревают поправки в УК РФ относительно негласного получения информации
4. ФСБ предлагает ввести ответственность за скрытое применение диктофонов и камер в смартфонах
ФСБ России вынесла на общественное обсуждение поправки в УК РФ и КоАП, в которых предлагается определить термин «специальные технические средства, предназначенные для негласного получения информации».
Сейчас определения таких технических средств нет. Новое определение специальных технических средств, в редакции ФСБ России, выглядит таким образом.
О внесении изменения в статью 138.1 Уголовного кодекса Российской Федерации
Статья 1 Дополнить статью 1381 Уголовного кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, № 25, ст. 2954; 2011, № 50, ст. 7362; 2015, № 24, ст. 3367; 2016, № 27, ст. 4258; 2017, № 31, ст. 4799) примечанием следующего содержания:
Примечание. Под специальными техническими средствами, предназначенными для негласного получения информации, в настоящем Кодексе понимаются приборы, системы, комплексы, устройства, специальный инструмент и программное обеспечение для электронных вычислительных машин и других электронных устройств, независимо от их внешнего вида, технических характеристик, а также принципов работы, которым намеренно приданы качества и свойства для обеспечения функции скрытного (тайного, неочевидного) получения информации либо доступа к ней (без ведома ее обладателя).
В теории под такие специальные средства будут подпадать и многочисленные приложения для смартфонов с функциями с записи аудио, видео и фото в скрытом или неявном режиме.
В результате, в зоне риска могут оказаться как продвинутые приложения-диктофоны (или камеры), так и привычные многим программы для удалённого администрирования компьютера. В пояснительной записке к поправкам так же не уточняется, в чем именно заключаются признаки тайного или неочевидного получения информации либо доступа к ней.
*на основе материалов https://habr.com/post/416075/
The last but not the least – долой зарубежные технологии! (нет ☺)
5. Новый виток импортозамещения
Сразу оговорюсь: это именно рекомендации, и никто не обрушит на Вас небесную кару за использование зарубежного офисного ПО.
В частности, определены требования к назначению работника, ответственного за переход на использование отечественного офисного ПО. Кроме того, в документах по информатизации (программах, стратегиях, концепциях и т. п.) для госорганов необходимо предусмотреть положения и мероприятия, направленные на приоритетное использование российских информационно-телекоммуникационных систем и отечественного офисного ПО.
Переход рекомендуется осуществлять с использованием ПО, сведения о котором включены в единый реестр российских программ для ЭВМ и баз данных и которое соответствует дополнительным требованиям, установленным Правительством РФ. Кроме того, в рекомендациях приведены формы документов, составляемых в рамках мероприятий.
К офисному ПО относятся в т. ч. операционная система, коммуникационное ПО, офисный пакет, почтовые приложения, органайзер, средства просмотра, интернет-браузер, редактор презентаций, табличный, текстовый редактор и средства антивирусной защиты.
До встречи в следующем месяце!