Не найти, а уничтожить: в России ужесточат правила обращения с персональными

В ближайшем будущем в России начнут действовать новые правила, касающиеся персональных данных — в том числе их удаления и оценки вреда при утечке. Соответствующие приказы обнародовал Роскомнадзор. Как отстоять свои права в новой системе и защитить чувствительную информацию, разбирались «Известия».
Личные поданные: банки против передачи в госбазу всей биометрии клиентов
Почему финорганизации не хотят расставаться с отпечатками вен ладоней людей и не доверяют черно-белым фото
Заделали «дыры»

Порядок обращения с персональными данными и случаи его нарушения сегодня регулирует Федеральный закон № 152-ФЗ «О персональных данных». Согласно документу, каждой информационной системе, в которой хранятся и обрабатываются личные сведения, присваивается определенный класс защиты.

— Несмотря на то, что закон вышел аж в 2006 году, некоторые его положения до сих пор вызывают вопросы в части реализации и толкования, — говорит замдиректора департамента информационной безопасности STEP LOGIC Денис Пащенко.

Регуляторы стараются закрывать белые пятна. Например, летом были приняты изменения, затрагивающие компании и предпринимателей. Теперь они обязаны информировать органы власти о компьютерных атаках на сайт и утечке персональных данных. Также необходимо оповещать Роскомнадзор, если личные сведения планируют передать за рубеж.

В связи с изменениями ведомство утвердило два приказа, которые должны упростить для россиян решение споров, если компания отказывается удалять персональную информацию. Приказ от 27.10.2022 № 178 разъясняет, как оценить вред, причиненный при утечке.
Хакер
Фото: Global Look Press/dpa/Silas Stein

— Приказ устанавливает требования к оценке вреда применительно к деятельности оператора по обработке ПД и не затрагивает вопросы, связанные с обеспечением безопасности персональных данных, регулирование которых отнесено к компетенции ФСБ и ФСТЭК России, — пояснили «Известиям» в Роскомнадзоре.

Ущерб в документе разделили на несколько степеней тяжести, также в нем прописали, кто может быть уполномочен оценивать вред, причиненный пострадавшему.
Сугубо личное: утечке данных россиян за рубеж положат конец
Персональную информацию граждан будут экспортировать лишь с разрешения Роскомнадзора

— Предыдущая редакция закона также обязывала оператора проводить экспертизу, но не связывала оценку с какими-либо требованиями Роскомнадзора, — пояснил ведущий юрист Европейской юридической службы Юрий Телегин.

С этим согласен и Денис Пащенко: операторы выполняли эти требования, исходя из своего видения, без формальных рычагов регулирования.

В другом приказе, от 28.10.2022, Роскомнадзор утвердил требования к уничтожению персональных данных. Организация обязана удалить личные сведения человека по его первому требованию. Оба документа вступят в силу с марта 2023 года и будут действовать шесть лет.

Принятые нормы являются логичной и давно ожидаемой мерой, считает управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ Евгений Царев. Однако глобально изменить ситуацию в лучшую сторону удастся вряд ли, полагают эксперты.
А судьи кто

С каждым годом всё чаще появляются новости об утечке персональных данных пользователей. Только в этом году в сеть попала личная информация из электронных сервисов, соцсетей, магазинов, медицинских лабораторий и даже некоторых учреждений госсектора.

— В открытом доступе появляются разные сведения, и нельзя ставить в один ряд случаи, когда в сети оказались адреса электронной почты и реальные адреса места жительства людей, да еще и с кодами домофонов. Даже утечка номера паспорта и скана паспорта — это разные истории, — поясняет «Известиям» исполнительный директор российской IT-компании HFLabs Константин Степанов.
Куки с маслом: почему каждый сайт хочет, чтобы вы приняли его cookie
Такие файлы запоминают действия пользователя и его предпочтения

В феврале случилась одна из крупнейших утечек персональных данных в истории РФ: в открытый доступ попала информация более чем о 20 млн пользователей, в июле — о 25 млн клиентов компании «СДЭК» и 30 тыс. контрагентов, в августе вновь утекли сведения уже об 120 тыс. клиентах сервиса «СДЭК». Осенью стало известно об утечке данных почти 500 млн пользователей WhatsApp (принадлежит Meta, признанной экстремистской организацией в РФ), около 10 млн пострадавших были гражданами России. За год до этого в сети распространили, по разным оценкам, до 1,5 млрд данных Facebook-аккаунтов (как и WhatsApp, принадлежит Meta, признанной экстремистской организацией в РФ).

— Безусловно, на 2022 год пришелся бум в сфере утечек, — комментирует Евгений Царев.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

Перечень слитых данных разнообразен: от ФИО до адресов с указанием этажа и кода домофона. Огласке предаются только наиболее громкие и резонансные случаи, добавляет Денис Пащенко. Увеличение числа кибератак на базы данных российских пользователей эксперты связывают в том числе с СВО.

— С начала специальной военной операции резко увеличилось количество таких утечек — более 140 случаев, в сеть попали около 600 млн записей о гражданах. За аналогичный период 2021 года было зафиксировано четыре инцидента с персональными данными, — уточнили «Известиям» в Роскомнадзоре.