Последние изменения в законодательстве о персональных данных

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Последние изменения законодательства о персональных данных

Алексей Лукацкий Бизнес-консультант по безопасности 29 June 2015


Изменения по направлению ПДн

Что было?

• Приказ ФСТЭК №21 по защите ПДн в ИСПДн

• Приказ об отмене «приказа трех» по классификации ИСПДн

• Приказ и методичка РКН по обезличиванию

• Закон 242-ФЗ о запрете хранения ПДн россиян за границей

• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн

• ПП-911 по отмене обязательного обезличивания

Что могло быть?

• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн

• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)

• Законопроект по ответственности за неуведомление о утечке ПДн

• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн

Что будет?

• Законопроект Совета Федерации по внесению изменений в ФЗ-152

• Законопроект по внесению изменений в КоАП

• Поправки в ФЗ-242 (?) • Постановление Правительства по надзору в сфере ПДн

• Выход РКН из под действия 294-ФЗ • Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции

• Методичка ФСТЭК по моделированию угроз

• Методичка ФСБ по моделированию угроз

• Модель угроз ПДн Банка России • Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн

• Постатейный комментарий РКН


Регуляторы хотят расширить понятие ПДн

§ Советник Президента г-н Щеголев (бывший министра связии массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам

§ Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой


Разъяснения РКН по поводу ФЗ-152

§ Постатейный комментарий к ФЗ-152/ФЗ-242, подготовленный сотрудниками РКН

176 страниц Продается за деньги – 265/100 рублей (бумажный/электронный вариант)

§ Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве

§ РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках


Правонарушение Нарушаемая статья законодательства

Наказание для должностных лиц

Наказание для юридических лиц

Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей

Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей

Незаконная обработка спецкатегорий ПДн

Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей

Неопубликование политики в области ПДн

Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей

Отказ в предоставлении информации субъекту

Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей

Отказ в уничтожении или блокировании ПДн

Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей

Нарушение правил хранения материальных носителей ПДн

ПП-687 4-10 тысяч рублей 25-50 тысяч рублей

Нарушение правил обезличивания (для госов)

ПП-211 и приказ РКН №996

3-6 тысяч рублей Не предусмотрено

Законопроект по штрафам прошел первое чтение


Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +

•  Планы –  Унификация перечня защитных мер для всех трех приказов

–  Выход на 2-хлетний цикл обновления приказов

§ В 2016-м году возможно будет готовиться вторая редакция 21-го приказа ФСТЭК

§ Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП


Проект методики моделирования угроз ФСТЭК

§ Методика определения угроз безопасности информации в информационных системах

§ Распространяется на ГИС / МИС ИСПДн (рекомендательный характер)

§ Не распространяется на угрозы СКЗИ и ПЭМИН

§ Отменяет «методику определения актуальных угроз…» 2008-го года

§ Применяется совместно с банком данных угроз ФСТЭК

§ Будет принята вероятно осенью 2015-го года


Методика моделирования угроз ФСБ

§ Методика определения актуальных угроз безопасности ПДн в ИСПДн

§ Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений

§ Ориентирована только на компетенцию ФСБ – СКЗИ

§ СКЗИ обязательны при передаче ПДн по каналам связи

§ Помните, что это всего лишь методические рекомендации


Проект модели угроз ПДн Банка России

§ Тип - Указание Банка России

§ Согласована с ФСТЭК и ФСБ

§ Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году

§  10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются


Вы не забыли про Конвенцию?

§ Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)

§ До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции

§ ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа


Сюрприз от Управделами Президента

§ Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня


Что еще будет в самом скором времени?

§ Проект приказа РКН «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн»

§ Проект приказа РКН «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»

§ Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение»)

§ Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)


Закон о запрете хранения ПДн россиян за границей

§ Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Запрет хранения Наказание за нарушение Выведение РКН из под действия 294-ФЗ

§ Вступает в силу с 1 сентября 2015 года Множество слухов о переносе сроков на 1 год

§ Ассоциация европейского бизнеса неоднократно писала письма в различные органы государственной и законодательной власти и получала ответы по данному закону


Самая простая часть уже реализуется

§ Роскомнадзор до 15 августа сформирует реестр нарушителей прав субъектов персональных данных

§ В реестр будут вноситься все интернет-ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработает с 1 сентября

§ Проект Постановления Правительства уже опубликован


Изменение правил надзора

§ Снижение числа проверок в отношении операторов персональных данных

§ Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия

§ Выход из под действия ФЗ-294


Готовится новое Постановление Правительства

§  Контроль и надзор за соответствием обработки ПДн требованиям законодательства

§ Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации

§  3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения

§ Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН


Множество трактовок, связанных с геополитикой

§ Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться

§ Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации

§ Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию


Благодарю за внимание

Law

Последние изменения в законодательстве о персональных данных