Теракт в «Крокус Сити Холле»

вчераСледствие доказало связь террористов в «Крокусе» с украинскими националистами

вчераСК задержал нового фигуранта дела о теракте в «Крокусе»

вчераНа массовые события предложили привлекать вневедомственную охрану вместо ЧОПов

Минцифры хочет ранжировать операторов персональных данных

Строже всего будут наказывать за слив информации об интимной жизни и судимости россиян

22.05.2021 00:00

Автор: Марина Третьякова

Минцифры хочет ранжировать операторов персональных данных
  © pixabay.com

Контролировать операторов персональных данных государство начнёт по принципу риск-ориентированности. Ревизоры станут чаще наведываться в учреждения, где хранится наиболее интимная информация и которые допускают утечки сведений о частной жизни россиян. А добросовестные компании, наоборот, станут видеться с инспекторами реже. Это предполагает проект постановления, который Минцифры опубликовало 20 мая. Публичное обсуждение документа на портале проектов нормативных актов продлится до 2 июня. Как сегодня закон защищает персональные данные россиян, разобралась «Парламентская газета».

Смотрим на риски

Проект постановления содержит Положение о федеральном госнадзоре за обработкой персональных данных. Планируется, что оно вступит в силу 1 июля этого года, заменив собой действующие правила.  

Контролировать операторов персональных данных по-прежнему будет Роскомнадзор. Он проверит, как они соблюдают требования закона по обработке информации и выполняют предписания по итогам проверок.

Систему надзора выстроят по новому принципу: операторам будут присваивать категории риска причинения ущерба. Всего их пять — высокий, значительный, средний, умеренный и низкий. Высшую категорию получат те, кто обрабатывает документы, где есть данные о расовой и национальной принадлежности, политических и философских взглядах, состоянии здоровья, интимной жизни и о судимости. Ещё сюда относятся компании и учреждения, которые работают с биометрическими данными, используют базы данных за пределами России или передают информацию за рубеж. Категорию низкого риска присвоят тем, кто работает с обезличенными или общедоступными персональными данными и не допускает никаких нарушений. От степени риска зависит частота проверок. Это главное отличие нового положения от действующих правил контроля.

От степени риска зависит частота проверок. Это главное отличие нового положения от действующих правил контроля".

Логика проста: чем более важные и чувствительные персональные данные у компании, тем серьёзнее должен быть контроль, пояснил «Парламентской газете» зампредседателя Комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.

«Понятно, что за компаниями, которые хранят паспортные данные, сведения о состоянии здоровья, о финансовых операциях, должен быть максимально пристальный и регулярный надзор, чтобы они не относились к защите данных спустя рукава», — отметил депутат от ЛДПР.

А вот данные, скажем, о вкусовых предпочтениях, например какие фильмы люди смотрят, на каких машинах ездят, в какие рестораны ходят, — это не настолько чувствительная информация, чтобы вести за ней сверхчуткий надзор, добавил он.

«Даже если такие сведения утекут на сторону, злоумышленникам будет сложно причинить серьёзный вред человеку», — пояснил Свинцов.

Наказание за разглашение данных с ограниченным доступом предлагают увеличить

Надзорные мероприятия останутся те же: выездная или документарная проверка. Ещё возможны выборочный контроль и инспекционные визиты. Для профилактики ревизоры могут информировать и консультировать операторов, а также объявлять им предостережения.

Информация под защитой

С 1 марта в России действует закон, позволяющий россиянам самим решать, какая информация о них должна оставаться приватной, а какую можно оставить в открытом доступе. Все сайты и соцсети, помимо традиционного согласия на обработку персональных данных, теперь должны предлагать дополнительное соглашение — о согласии на распространение сведений. В нём пользователь может указать, какую информацию он запрещает публиковать. Это могут быть адрес, семейное положение, диагноз, судимость, политические убеждения и так далее. Кроме того, пользователи теперь вправе отзывать согласие на обработку данных и требовать их удаления из общего доступа.

Операторами персональных данных считаются все компании и учреждения, использующие в своей работе чью-то личную информацию — от Ф. И. О. и номера телефона до родственных связей и диагнозов. Такие организации должны регистрироваться в Роскомнадзоре, который следит, как операторы выполняют требования Закона «О персональных данных» — в нём написано, как можно и нельзя обрабатывать сведения, как их защищать от утечек, блокировки и прочего. Одно из главных требований — собирать информацию строго в соответствии с указанной целью. Например, компания по доставке еды не вправе интересоваться профессией клиента, а банку совсем ни к чему знать, состоит ли в какой-то политической партии заёмщик.

Портал госуслуг защитят от сайтов-двойников

Также на законодательном уровне закреплены методы защиты персональных данных. Они зависят от категории и объёма сведений в базе оператора. Компании, имеющие дело со сведениями, которые позволяют идентифицировать людей или узнать об их интимной жизни, взглядах и национальности, в ряде случаев должны получать лицензии Федеральной службы по техническому и экспортному контролю на техническую защиту конфиденциальной информации.

За слив — в тюрьму

Чаще всего ответственность за нарушения при обработке персональных данных административная. Есть штрафы за использование несертифицированных средств защиты информации, за разглашение личных данных, за некачественную защиту данных, из-за чего они попали в чужие руки и так далее.

Разглашение тайны частной жизни считается уже уголовным преступлением. Тут виновного могут отправить за решётку на четыре года максимум. До двух лет светит тем, по чьей вине откроется доступ к охраняемой законом компьютерной информации.

За кражу электронной подписи могут дать до трёх лет тюрьмы

В Минцифры предлагают включить в Уголовный кодекс ещё одну статью, которая установит ответственность за массовые утечки персональных данных. О том, что такой законопроект уже готов, глава ведомства Максут Шадаев сообщил на заседании Комитета Госдумы по информационной политике и технологиям 15 апреля, но пока документ не поступил в палату.