Компании ответят за утечку персональных данных клиентов

Совет Госдумы одобрил к принятию в первом чтении поправки в Закон «О персональных данных» и Кодекс об административных правонарушениях, которые сенаторы  и депутаты во главе с Валентиной Матвиенко внесли в  палату ещё в конце 2013 года.

Утечки перекроют КоАПом

Мы оставляем свои персональные данные ежедневно — охранникам при проходе во всевозможные учреждения, продавцам-консультантам, когда оформляем дисконтную карту или когда делаем заказ в интернет-магазине. И спустя некоторое время нас захлёстывает волна назойливых предложений: пройти процедуры в неведомых салонах красоты и медцентрах или втридорога купить билеты на концерт «по акции». Откуда у спамеров взялись ваши контакты? Ответ прост — недобросовестные сотрудники компаний «сливают» базы клиентов.
Доходит до смешного.

«Мне с разных номеров постоянно названивают какие-то нахрапистые товарищи, которые представляются сотрудниками Департамента культуры Москвы. Недавно они предложили мне билеты на спектакль в театре, где я работаю. Разница была втрое от номинала. На вопрос, откуда взяли мои контакты, мямлят что-то невразумительное», — рассказала «Парламентской газете» билетный администратор одного из московских театров.

В последнее время власти активизировались в деле защиты персональных данных россиян. 20 апреля Комитет Госдумы по госстроительству, а 16 мая Совет Госдумы одобрили к принятию в первом чтении поправки в Закон «О персональных данных» и КоАП, которые обяжут операторов персональных данных информировать уполномоченный орган о любых  утечках. При этом сама процедура уведомления в законопроекте не прописана: авторы документа хотят уточнить её с операторами данных.

«За время, которое прошло с внесения законопроекта, его актуальность только усилилась», — считает один из разработчиков документа, директор по стратегическим проектам в Институте исследований Интернета Ирина Левова. В случае принятия поправок появится возможность дистанционной подачи согласия на обработку персональных данных с использованием электронных средств, которые позволят оператору идентифицировать конкретное лицо. Госорганы смогут обрабатывать персональные данные без согласия человека только в целях предоставления конкретной услуги. Трансграничная передача персональных данных будет разрешена, только если условия договора или регламент оператора обеспечивают им адекватную защиту. Это позволит сделать работу облачных сервисов полностью законной, отметила Левова.

Выступившая одним из авторов поправок зампред Комитета Совета Федерации по конституционному законодательству Людмила Бокова сообщила «Парламентской газете», что документ будет касаться только случаев несанкционированного доступа.  Однако поскольку с внесения законопроекта в Госдуму прошло уже 3,5 года, многие его формулировки  нуждаются в уточнениях и активном обсуждении с экспертами перед вторым чтением.

«Представители отрасли должны понимать суть вносимых нами изменений, чтобы «не дёргаться», — пояснила сенатор. — Для нас особо важна новелла, согласно которой персональные данные обрабатываются операторами для определённых целей. С одной стороны, мы облегчаем их положение, давая ясность, а с другой — фиксируем, что если утечка данных произошла, то компания понесёт за это ответственность».

Речи о том, что эта ответственность падёт на каких-то её сотрудников, пока нет

Логичный шаг

По мнению Андрея Заикина, руководителя направления информационной безопасности  IT-компании КРОК, введение такой практики поможет повысить ответственность операторов как перед субъектами персональных данных, так и перед регулятором. «За рубежом подобная практика существует уже достаточно давно, — отмечает эксперт. — Мало того, она есть и в нашей стране, но только в области обязательного информирования Центробанка об инцидентах информационной безопасности в банковской сфере. Довольно часто подобные нововведения вызывают не только положительные эмоции, но цель этого закона —  защита прав россиян, а значит, принудительные меры по отношению к операторам со стороны государства можно считать оправданными».
«Сейчас  нам остаётся дождаться детальных процедур уведомления, которые обычно прописываются в подзаконных нормативных актах. Так что если изменения в закон будут приняты и одобрены, в скором времени будем ожидать распоряжения Роскомнадзора, либо приказа ФСТЭК, который регулирует данную сферу», — заключил Заикин.

Портал персональных данных появится в 2019-м

Этими поправками борьба за права россиян на конфиденциальность не ограничивается. В конце апреля президент Владимир Путин поручил главе Правительства  Дмитрию Медведеву обеспечить к 1 декабря изменения федеральных законов, которые минимизируют состав персональных данных, обрабатываемых государственными инфосистемами. В частности, обязательными станут учёт и регистрация действий и идентификация всех участников, связанных с обработкой персональных данных в информационных системах, а также  декларирование и согласование порядка обработки персональных данных с их целями.

Министерство связи и массовых коммуникаций в начале мая направило в кабмин проект программы «Цифровая экономика». В нём говорится, что уже в 2019 году каждый гражданин России сможет проверить на специальном портале, с кем делился своими паспортными данными, и, если необходимо, запретить их дальнейшее использование. Согласно проекту сайт по контролю за распространением персональных данных будет работать под эгидой Роскомнадзора.

Как подтвердил «Парламентской газете» пресс-секретарь Роскомнадзора Вадим Ампелонский, в Минкомсвязи  уже подготовили проект постановления Правительства о порядке госконтроля за обработкой персональных данных граждан. Служба сможет отслеживать не только обработку данных, но и оказание услуг и продажу товаров, где «предметом являются персональные данные и (или) деятельность по их обработке».

Нам нужно установить правомерность сбора данных, соответствие целям, заявленным оператором.

«Будем смотреть, каким образом данные хранятся, кто имеет к ним доступ, выявлять случаи неправомерного использования в коммерческих целях», — сообщил Ампелонский. Чиновник констатировал, что подавляющее большинство операторов добросовестно относится к ведению своих баз персональных данных, а для борьбы с нарушителями имеется действенный инструментарий.

---

Справка

Персональные данные - любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество; 
— год, месяц, дата и место рождения; 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы; 
- другая информация. Например: паспортные данные, финансовые ведомости, медицинские карты, биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст. 8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на четыре категории.

Оператор персональных данных - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Субъект персональных данных - это физическое лицо.
Оператор несёт ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.