16-17 июня: изменения в законодательстве о персональных данных

16-17 июня я проведу очередной курс КП32 «Защита персональных данных» в Учебном центре «Информзащита». В мае исполнилось 15 лет, как я читаю этот курс, и я даже не пытался подсчитать, сколько слушателей на нем побывало. Много, очень много. Это был первый в стране курс по новому закону «О персональных данных», который за 4 месяца до премьеры курса вступил в силу.

Естественно, содержание курса все эти годы постоянно менялось вместе с изменениями в законе, принятием подзаконных нормативных правовых актов, судебной практикой и практикой правоприменения. Я без ложной скромности скажу, что курс уникальный. Он будет полезен и тому, кто только начинает разбираться в российском законодательстве и сталкивается с большим количеством проблем, пытаясь выполнитель его требования, и тем, кто в этой теме уже давно, но хочет «сверить часы», узнать о произошедших изменениях, разобраться в проблемах, рожденных несовершенством законодательства и практикой его правоприменения на основе толкования, которое тоже меняется время от времени.

Вот и на предстоящих занятиях мы обсудим актуальные новинки.

Поговорим о принятых изменениях в Федеральном законе «О защите прав потребителей» в части запрета на истребование персональных данных, не являющихся необходимыми для совершения сделки, и вводимой административной ответственности за невыполнение этих требований. Обсудим, а нужны ли были изменения и как мы жили без них.

Новеллу проиллюстрируем судебным решением, которым действия страховой компании, хотевшей узнать паспортные данные и сведения о водительских правах для расчета стоимости ОСАГО, были признаны неправомерными, но суд этим не ограничился и потребовал изменить еще и пользовательское соглашение на сайте. Отмечу, что решение было принято до внесения изменений в законодательство. 

Рассмотрим позицию Роскомнадзора, Банка России и ФАС по порядку получения согласия физического лица, являющего стороной договора с оператором или представляющего документы, необходимые для его заключения. Хотя формально информационные письма регуляторов касаются кредитных организаций, но рассматриваемые в них наилучшие, допустимые недопустимые и недобросовестные практики (вот прямо так и написано) полезно знать всем операторам.

Разберемся, что думают территориальные управления Роскомнадзора о сборе персональных данных с использованием веб-форм на сайтах и обязательна ли там «галочка» для выражения согласия с обработкой.

Вникнем в прецедентные решения судов трех инстанций, поддержавших оператора в споре с надзорным органом о том, что такое архивный документ, в какой форме и как долго он должен храниться, всегда ли нужны письменные согласия работников на передачу их персональных данных третьим лицам.

Расскажем о новостях с контрольных и надзорных фронтов, где объявлен мораторий на плановые проверки, но появились новые формы контроля, которые не приостановлены, такие как профилактические визиты и мероприятия без взаимодействия с контролируемым лицом. Узнаем о появлении нового надзорного органа в сфере персональных данных, проверочных листах и самопроверке.

Обсудим самые горячие вопросы очень популярной в последнее времени темы биометрических данных – аккредитацию операторов, допустимые случаи использования биометрии для идентификации и аутентификации, присоединение к Единой биометрической системе и ее условиях.

Конечно, затронем (именно затронем, без погружения) законопроекты, которые могут в ближайшее время существенно поменять ландшафт, в котором используются персональные данные, условия трансграничной передачи, порядок уничтожения персональных данных, их носителей и оформления такого уничтожения и других грядущих изменениях.

Традиционно завершаю: приходите, скучно точно не будет.

Поскольку у курса все-таки круглая дата, будет и бонус. Кто зарегистрируется и оплатит курс, сможет направить мне вопросы по электронной почте mezp11@gmail.com, на которые я отвечу во время чтения курса.  

Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией

Посты о биометрии – одни из самых читаемых в моем блоге. Вот и последний из опубликованных, про искусство чтения нашей запутанной нормативки в области биометрии, за последние три месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем я обещал вернуться к теме аккредитации, и, хотя три года на исполнение обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем вебинаре о выполнении требований законодательства о персональных данных в кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников, а к единому мнению прийти не удалось.

Главный вопрос – надо ли аккредитовываться всем, в том числе банкам, для которых использование Единой биометрической системы (ЕБС) является обязательным, а также владельцам собственных систем биометрической идентификации, никак с ЕБС не связанных, и использующих формы биометрии, отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие). Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на вопросы волнующихся операторов и специалистов однозначных ответов на поставленные вопросы не содержат. Самый наглядный пример – хождение за тремя ответами Алексея Лукацкого.

Что ж, нет разъяснений - будем читать нормативку как положено – буквально и внимательно.

Правила аккредитации операторов, обрабатывающих биометрические персональные данные, определены в Постановлении Правительства РФ от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС - молчок.

Правила устанавливают порядок аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации. Опять никаких исключений, при буквальном прочтении очевидно: если организация использует биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для подтверждения своих полномочий. 

Но дьявол, как известно, в деталях. Возьмем лупу и внимательно рассмотрим их.

В преамбуле Постановления есть отсылка к частям 18.28, 18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально рассматривающей применение биометрии. Что же в этих частях?

В части 18.28 указывается, что аккредитация проводится в отношении организаций, в том числе финансового рынка, указанных в части 18.18 этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических персональных данных, используемых для аутентификации (как следует из текста остальных частей – без идентификации) в информационных системах этих самых организаций (реализация мер защиты, в том числе применение сертифицированных средств шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак). Про ЕБС снова ни слова.

Часть 18.30 – про особенности аккредитации иностранных юридических лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.

Часть 18.31 – про отсутствие ограничения срока аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию, а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим.

Часть 18.20 – это про еще одну загадку законодательства о биометрии. В ней – о возможности использования биометрии уже включая идентификацию, а не только аутентификацию, организациями, кроме госорганов и органов местного самоуправления, в случаях, установленных Правительством РФ по согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем случаи, когда биометрическую идентификацию и аутентификацию можно использовать в принципе, в том числе в случае отсутствия биометрических персональных данных в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования которой Постановление № 1815 и реализует). То есть, если ЕБС не используется, аккредитовываться точно надо. Но для того, чтобы это было возможно, помимо требований, указанных в части 18.29 (о ней будет дальше) организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным юрлицам, которые хотят получить аккредитацию.

Ну, и наконец (будем последовательны) – про часть 18.33. Она - про особенности аккредитации иностранных юридических лиц, подпадающих под требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.

Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются требований к аккредитации, которые как раз реализуются в Постановлении. Может быть потому, что в документе Правительства зачем-то полностью повторяются требования, уже прописанные в законе?

Итоги: читая буквально закон и подзаконные акты, приходим к однозначному выводу, что аккредитация нужна всем операторам, использующим биометрию для аутентификации, аутентификации и идентификации физических лиц, а также оказывающих такие услуги вне зависимости от того взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа в собственные помещения или информационные системы. Кстати, исходя из требований Постановления № 1815, входить в систему по биометрии (например, по «пальчику») будет нельзя.

Про условия аккредитации и требования к заявителям писать не буду. Для чтения на неделе между длинными праздниками-выходными это будет перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку буквально, удастся далеко не всем, даже если использование для них биометрии является обязательным по закону, например, банкам с универсальной лицензией и иностранным участием более 49%. У таких операторов останется только один путь – получение услуг идентификации и аутентификации у счастливых обладателей аккредитации (ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7 «антиотмывочного» закона № 115-ФЗ требует.

Но об этом – как-нибудь в следующий раз. При наличии времени и желания.