Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных

Руслан Рахметов, Security Vision

Обсудив в предыдущей статье вопросы защиты ПДн в странах Евросоюза, логично было бы обратить внимание на практику взаимодействия США и Европы по вопросам обработки личных данных, а также кратко осветить текущую ситуацию по проведению проверок отечественными контролирующими органами и дать читателям практические советы по подготовке к выполнению нормативных требований по защите ПДн.

В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения - привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:

• информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;

• предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);

• взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;

• поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;

• обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:

1. в случае третьего лица, выступающего в роли оператора, соответствие принципам уведомления субъектов и их осознанного согласия (т.н. «Notice and Choice Principles»), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);

2. в случае третьего лица, выступающего в роли агента, т.е. обработчика, выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей, по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;

• открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;

• соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.

Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.

Что касается штрафных санкций за невыполнение требований по защите ПДн в разных странах, то выглядят они следующим образом:

1. Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта, либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей.

Следует учитывать, что штраф может быть наложен за каждый факт нарушения законодательных норм. Более того, недавно в Государственную Думу был внесен законопроект, подразумевающий введение двух новых составов правонарушений в области защиты ПДн - депутаты предлагают накладывать миллионные штрафы за невыполнение норм 242-ФЗ, т.е. за отказ от локализации баз ПДн россиян на территории РФ, а также за повторные нарушения  требования по локализации.

2. Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR, за «незначительные» нарушения составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а за «существенные» - до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн.

3. Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений.

Роскомнадзор, отечественный уполномоченный государственный орган по защите прав субъектов ПДн, имеет право проводить проверки юридических лиц и индивидуальных предпринимателей на предмет выполнения ими положений Законодательства РФ в области защиты ПДн.  При этом проверки проводятся как Центральным Аппаратом (план проверок и отчеты о деятельности публикуются на официальном сайте), так и Управлениями по Федеральным округам (например, на сайте Управления Роскомнадзора по ЦФО размещены планы деятельности и отчеты на последние 10 лет). Проверки Роскомнадзора регламентируются Постановлением Правительства РФ №146 от 13.02.2019 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». В соответствии с этим Постановлением проверки бывают как плановыми (практика показала, что регулятор проверяет в течение года группы компаний, объединенных по общему признаку, например, по сфере деятельности), так и внеплановыми: они могут проводится по поручению Президента, Правительства РФ или по решению Руководителя Роскомнадзора в рамках проведения прокурорской проверки, в случае неисполнения предыдущего предписания регулятора, а также в случае поступления жалоб от субъектов ПДн. При этом внеплановые проверки могут быть только выездными, а плановые могут быть как документарными, так и выездными. Регулятор при проверке изучает внутренние нормативные документы по обработке ПДн, осматривает места хранения ПДн, требует наглядно продемонстрировать обработку ПДн в информационных системах. Как правило, в случае выявления недостатков регулятор выносит предписание на устранение нарушений в заданные сроки, а штрафует за отсутствие правовых основ для обработки ПДн (например, за отсутствие задокументированных фактов дачи согласия субъектами ПДн), несоответствие целей обработки и объема ПДн, отсутствие необходимых уведомлений и политик на сайте оператора при условии сбора ПДн на нем.

Итак, процесс обеспечения безопасной обработки ПДн, соответствующей положениям действующего законодательства, достаточно трудоемок, в нем присутствует большое количество нюансов, от организационных вопросов, объема нормативно-правовой базы, учета всех регуляторных требований до конкретной реализации технических мер защиты. Компания-оператор может переложить часть задач по построению системы защиты ПДн на плечи лицензиата ФСТЭК России. Группа Компаний «Интеллектуальная Безопасность» обладает необходимой лицензией на деятельность по технической защите конфиденциальной информации, а также соответствующими компетенциями в области защиты информации и персональных данных, что позволяет реализовывать проекты по построению системы защиты ПДн.

Продукты Security Vision закрывают следующие требования российского законодательства в части мер и способов защиты ПДн в соответствии с Приказами №17 и №21 ФСТЭК России: