Как обещал, продолжение
про IX международную конференцию Роскомнадзора. Часть 1 здесь.
В заключение по
традиции проходил круглый стол «Свободный микрофон с регуляторами» -
мероприятие, на котором предоставляется редкая возможность задать вопрос
представителям всех надзорных органов. К представителям Роскомнадзора (Ю. Контемиров),
ФСБ России (А. Бодров), ФСТЭК России (Е. Торбенко) присоединился А. Сычев из
Центробанка.
К сожалению, на Круглый
стол не пришли представители Минкомсвязи России, а министерство все-таки, как
указано в Положении о нем, – федеральный орган исполнительной власти,
осуществляющий функции по выработке и реализации государственной политики и
нормативно-правовому регулированию в сфере обработки персональных данных.
Вопросов к уполномоченному органу было много, особенно в связи с реализацией
программы «Цифровая экономика» и многочисленными законодательными инициативами
в области персональных и больших пользовательских данных. Ответы на них
получить не удалось.
По приглашению Роскомнадзора
модерировал круглый стол я и заранее готовил и собирал вопросы
для регуляторов, но получил их немного. Вопросов, в том числе из зала, было
много, традиционно больше всего – к Роскомнадзору, но и остальные участники
вниманием не были обделены.
Как и обещал, пишу, на
мой взгляд, о наиболее интересном или на что стоит обратить внимание. Курсивом – мои комментарии к некоторым
ответам.
Ю. Контемиров (Роскомнадзор).
Роскомнадзор надзирает
за законодательством о персональных данных в целом, включая нормы других
законов, таких, например, как глава 14 Трудового кодекса.
За этот год всеми
территориальными управления Роскомнадзора составлено 98 протоколов по
административным правонарушениям, квалифицируемым по статье 13.11 КоАП РФ в
новой редакции. Для сравнения – по статье19.7
(неуведомление об обработке или неполучение ответа на запрос) протоколов
составляется 7 тысяч и более в год.
Законодательство о
персональных данных в совокупности с Постановлением Правительства РФ № 687
регулирует любую обработку персональных данных, в том числе неавтоматизированную
в полном объеме (мною был приведен пример с вывешиванием списков должников за
услуги ЖКХ в подъезде, написанным от руки; этот случай тоже подпадает,
поскольку есть алгоритм выявления неплательщиков из общего списка должников).
Дееспособность в
отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на
обработку персональных данных, подписанному самостоятельно ребенком 14 лет и
старше, претензий не будет. Это первое, на мой взгляд, публичное заявление
надзорного органа по этому вопросу. Я писал об
этом еще два с половиной года назад и высказывал именно эту позицию.
Подписывать согласие на
обработку в электронной форме можно любой электронной подписью, предусмотренной
законом 63-ФЗ, а не только усиленной
квалифицированной, как недавно настаивало Минкомсвязи.
Типовые формы,
предусматривающие внесение в них персональных данных (их несоответствие п.7
Постановления № 687 выявляется в последнее время практически при каждой проверке),
должны соответствовать требованиям п.7, только если они созданы оператором
самостоятельно. На формы, разработанные госорганами и органами управления
внебюджетных фондов в рамках их полномочий, эти требования не распространяются
(мною были приведены примеры рецепта на лекарство и форм ПФР). Это был самый неожиданный для меня ответ,
поскольку в Постановлении № 687 прямо требуется от госорганов привести свою
работу в соответствие постановлению в течение месяца, а прошло 10 лет. Но
позиция ведомства такова, и она высказана.
Сам по себе (без
привязки к конкретному субъекту) номер телефона или госзнак автомобиля – не
персональные данные.
А. Сычев (Банк России)
Кредитно-финансовое
учреждение может самостоятельно определять, относить ли конкретную информационную
систему банка к ИСПДн или нет. Но смысла уклоняться от отнесения к ИСПДн нет,
поскольку требования к банковским системам жестче, чем к персональным данным.
Ю. Контемиров прокомментировал, что вопросы отнесения или неотнесения к
ИСПДн конкретных систем Роскомнадзор не проверяет.
Сроки оснащения
подразделений банков системами биометрической идентификации сдвигаться не
будут, несмотря на проблемы с приобретением модуля HSM, размещением
клиентских программ в App Store
и работоспособностью решения «Ключ Ростелеком». Однако топ-менеджментом Банка России высказываются и иные точки зрения
на этот процесс (см., например, здесь).
Создание ЕБС – это мощный толчок рынку средств ИБ, который должны
поддержать заказчики (банки в данном случае).
Подготовлено и передано
на регистрацию в Минюст Указание Банка России об осуществлении надзора за
соблюдением банками порядка размещения и обновления сведений в Единой
биометрической системе. Так что Банк России скоро станет для кредитных
финансовых учреждений основным надзорным органом при работе с биометрией. Если учесть наличие Приложения Б,
определяющего для банков состав оргмер при обработке персональных данных в
ГОСТе Р 57580.1–2017 по безопасности финансовых операций, а также вспомнить
письмо Центробанка от 14.03.2014 № 42-Т «Об усилении контроля за рисками,
возникающими у кредитных организаций при использовании информации, содержащей
персональные данные граждан», контроль, похоже, будет выходить за пределы использования
биометрии.
А. Бодров (ФСБ) и Е. Торбенко (ФСТЭК)
Модель угроз
безопасности действительно законом и НПА по персональным данным не
предусмотрена, вместо нее можно составить просто перечень актуальных угроз, но такой
подход усложнит жизнь тем, кто должен согласовывать угрозы с регуляторами.
А. Бодров.
Разъяснения на сайте ФСБ о необязательности сертификации средств
шифрования при массовой передаче данных в сети Интернет не распространяется на
персональные данные, поскольку к ним требования об использовании средств
защиты, прошедших процедуру оценки соответствия, установлены законом. На мою реплику о том, что в разъяснении
исключения не упоминаются, ответ был простым – этого делать и не надо,
действует прямая норма закона.
От ответа на вопрос о необходимости получения лицензии ФСБ
на работу со средствами шифрования для поднятия протокола TLS с алгоритмом RSA представитель
ведомства уклонился, указав на то, что это компетенция Центра по
лицензированию, сертификации и защиты гостайны ФСБ. Я предложил на круглый стол
на следующей конференции пригласить и их, организаторы обещали. А. Сычев в своем
комментарии обратил внимание на необходимость более активной работы по внедрению
российских алгоритмов в протокол TLS, в том числе – за
рубежом.
Е. Торбенко. Подход
Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств
защиты информации в форме испытания и приемки можно применять и при построении
системы защиты персональных данных, но владелец системы должен осознавать свою
ответственность за качество и обоснованность такой оценки. А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку
соответствия в форме сертификации в своей системе.
Сертификация
прикладного программного обеспечения, используемого для обработки персональных
данных, не требуется, если оно не реализует функции защиты от актуальных угроз.
Но любой заказчик вправе потребовать такую сертификацию от поставщика или
исполнителя, если считает ее необходимой.
В блоге Сергея
Борисова
приведены ответы регуляторов на круглом столе и выложена ссылка на его аудиозапись
круглого стола.
"За этот год всеми территориальными управления Роскомнадзора составлено 98 протоколов по административным правонарушениям, квалифицируемым по статье 13.11 КоАП РФ"
ОтветитьУдалитьМожет господин Контемиров оговорился... В России, примерно, 60 управлений РКН (то ли 63, то ли 65, все время объединяют). В среднем - от 15 до 40 только плановых проверок в каждом управлении за год. Для примера, с учетом того, что еще год не закончился, возьмем цифру 20 и умножим на 60. Получим 1200 проверок. Даже если грубо округлим до 1000. 98 протоколов?! То есть 9 из 10 проверок не заканчивались протоколом?! Я больше поверю в цифру 1 из 10. А есть еще внеплановые проверки. Что то очень сомнительна цифра 98...
Да нет, Николай, все так. В прошлом году с 1 июля, когда РКН получил право возбуждения административных дел, и до 31 декабря не было составлено ни одного протокола.
ОтветитьУдалитьОго... получается, что плановые проверки заканчиваются предписанием?
УдалитьДа, в большинстве случаев. Раньше материалы отравлялись в прокуратуру и дело доводилось до штрафа примерно в 20% случаев отправки (это происходило далеко не после каждой проверки). Теперь в суд надо идти представителям РКН и доказывать обоснованность привлечения.
УдалитьПолучается, что все судебные дела за 17 год по 13.11. - от прокуроров...
УдалитьАга
Удалить"Дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Это первое, на мой взгляд, публичное заявление надзорного органа по этому вопросу. Я писал об этом еще два с половиной года назад и высказывал именно эту позицию."
ОтветитьУдалитьЯ Вашу позицию полностью разделяю, но, все же есть опасения... Мне не дает покоя ГК. Все же согласие содержит элементы сделки и направлено на установление гражданских прав. В общем, мы, пока, клиентам советуем брать согласие родителя на сделку, если клиент старше 14.. И позиция регулятора это, конечно, плюс, но как всегда все на волоске. Очень часто в регионах у регулятора другая позиция, а у суда и подавно.
В юридической науке вообще есть мнение, что обработка персональных данных это не гражданское, а информационное право) И, таким образом, нужно смотреть закон о пдн, ведь в информационном праве нет такого понятия как использования закона по аналогии. Получается, что нормы ГК на обработку пдн вообще не распространяется. Но уж больно это мнение специфическое.. Сложно с ним согласиться. Хотелось бы судебную практику найти по этому вопросу.
Устный ответ всегда к делу подшить нельзя. И претензии могут быть не только у РКН, но у прокуратуры или органов опеки. Поэтому да, опасения есть. Но есть случаи, затрагивающие права несовершеннолетнего, не связанные со сделкой, и его мнение может не совпадать с мнением родителей. Эти - самые сложные.
Удалить"Но есть случаи, затрагивающие права несовершеннолетнего, не связанные со сделкой, и его мнение может не совпадать с мнением родителей. Эти - самые сложные". Это вообще кошмар, да.
Удалить