Как знают все интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией пункта 5 части 1 статьи 18.1 закона «О персональных данных», оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения данного закона, должна проводиться оператором в соответствии с требованиями, установленными Роскомнадзором.
Делается эта оценка,
как следует из текста закона, для обеспечения соотношения вреда и мер,
принимаемых оператором для обеспечения выполнения обязанностей, предусмотренных
законом.
То есть чем больше
вред, тем больше придется потратить сил и средств для предотвращения его
нанесения субъектам. А если вред незначительный, то тратиться особо ни к чему,
поскольку в этом случае ничего больше мыши гора все равно не родит.
Кто не помнит, и уровни
защищенности должны были быть определены с учетом возможного вреда субъекту,
поскольку чем уровень выше, тем больше и объемнее и состав мер по обеспечению
безопасности персональных данных. Но в Постановлении Правительства РФ № 1119
от 01.11.2012 про вред нет ни слова, поэтому и уровни мы благополучно
определяли без его учета.
С того же 1 сентября
вред надо оценивать также при утечке персональных данных и указывать его в
уведомлении, направляемом в Роскомнадзор о произошедшей утечке персональных
данных, которая деликатно именуется в законе «фактом неправомерной или
случайной передачи (предоставления, распространения, доступа) персональных
данных, повлекшей нарушение прав субъектов персональных данных».
Прежде чем пойти
дальше, обратим внимание на два момента, зафиксированных в законе:
· вред
наносится именно субъекту персональных данных (казалось бы, очевидно, но как
будет видно ниже, нет);
· вред
возникает при нарушении требований закона «О персональных данных» (даже если
субъекту крайне неприятно то, что сделал оператор, но закон не нарушен,
перспективы возмещения убытков и компенсации морального вреда более чем
туманны).
И вот 29 ноября
свершилось! После согласования и регистрации в Минюсте был опубликован Приказ
Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке
вреда, который может быть причинен субъектам персональных данных в случае
нарушения Федерального закона "О персональных данных"».
Следуя сложившейся в
последнее время традиции, текст требований, утвержденных приказом, существенно отличается
от того, который был опубликован для обсуждения на портале раскрытия информации
regulation.gov.ru. Наверное, потому что были учтены многочисленные предложения
и пожелания обсуждавших его специалистов.
Приказ требует от
оператора для оценки вреда субъекту определить одну из трех степеней вреда
(высокая, средняя, низкая), который может быть причинен субъекту персональных данных в
случае нарушения закона (определить для оценки вреда одну из степеней – так
буквально и написано в приказе). Правда, зачем это делать оператору, совершенно
не понятно, поскольку в приказе случаи, в которых возникает та или иная степень
вреда, определены в виде закрытого перечня.
А вот сами случаи,
когда возникает та или иная степень вреда, требуют более детального
рассмотрения. Внимательно проштудировав приказ, я разделил их на три
группы:
· когда
действия оператора прямо нарушают закон;
· когда
обработка (видимо, по мнению авторов приказа) создает высокие риски для
субъекта в случае инцидента, но сама по себе закон не нарушает;
·
когда
никакого нарушения закона нет или субъекту вообще совершенно безразлично, что
делает в данном случае оператор.
Наличие случаев, не
нарушающих закон, но наносящих вред субъекту, мягко говоря, удивляет. Но
давайте разбираться дальше.
Действия оператора,
нарушающие закон:
· обработка
персональных данных несовершеннолетних для исполнения договора или заключения
договора в случаях, не предусмотренных законодательством РФ (интересно только,
является ли сама статья 26 ГК РФ случаем, предусматривающих возможность
заключения сделок несовершеннолетними, и, соответственно, заключение с
договоров с ними предусмотренным законодательством основанием по мнению авторов
закона «О персональных данных»?);·
сбор
персональных данных в базы данных, находящиеся за пределами РФ;
· обработка
персональных данных в дополнительных целях, отличных от первоначальной цели
сбора (правда, слов при отсутствии в этом случае согласия субъекта в приказе
нет, но будем считать, что авторы исходили из буквального прочтения принципов
обработки, установленных статьей 5);
· получение
согласия на обработку, предусматривающего обработку персональных данных
определенным и (или) неопределенным кругом лиц в целях, не совместимых между
собой (это одно нарушение или два?).
Действия оператора,
закон не нарушающие, но создающие риски для субъекта:
· обработка
специальных категорий персональных данных или биометрии в случаях, когда
законами не установлены цели, порядок и условия обработки данных; но и в статье
10, и в статье 11 определено такое основание обработки, как наличие согласия
субъекта в письменной форме, и обработка при его наличии в целях, указанных в
согласии, закон никак не нарушает; тем не менее приказ относит такую обработку
к создающей максимальную, высокую степень вреда;
· обезличивание
персональных данных для скорринга или проведения исследований, отличных от статистических
или от (внимание!) иных исследовательских целей (вот прямо так, исследований,
отличных от иных исследовательских целей); но в части 1 статьи 6 есть такое
основание обработки, как согласие; и что тогда нарушает закон, если субъект с
обезличиванием согласился?
· распространение
персональных данных на официальном (а на неофициальном можно?) сайте оператора
в сети Интернет, предоставление персональных данных неограниченному кругу лиц,
за исключением случаев, установленных федеральными законами, предусматривающими
цели, порядок и условия представления (и снова вопрос о согласии как законном
основании, прямо предусмотренным статьей 10.1);
· продвижение
товаров, работ, услуг на рынке путем прямых контактов с потребителем с
использованием баз персональных данных, владельцем которых является иной
оператор (видимо, опять подразумевается отсутствие согласия субъекта на это, но
поручение в этом случае обработки, например, обзвона клиентов, колл-центру с
передачей базы данных для исполнения поручения и согласии субъекта также закон
не нарушает);
· получение
согласия на обработку персональных данных на сайте в сети Интернет (конечно,
официальном) без дальнейшей идентификации и (или) аутентификации субъекта;
законом такие действия не запрещены и во многих случаях избыточны, например,
при заказе доставки товара через сайт.
Действия оператора,
соответствующие закону:
· поручение
иностранному лицу (иностранным лицам) осуществлять обработку персональных
данных граждан РФ, которое законом не запрещено;
· ведение
общедоступных источников персональных данных, сформированных в соответствии со
статьей 8 Закона о персональных данных; в соответствии с законом – вообще без
комментариев;
· назначение
в качестве ответственного за обработку персональных данных лица, не являющегося
штатным работником оператора; закон прямо предусматривает такую возможность, а
субъекту совершено безразлично в музыкальном, цветовом, ботаническом и иных
аспектах, кто там у оператора ответственное лицо.
Извините, но это все. Больше
никаких случаев возникновения вреда субъекту в приказе нет. А где же
утечки, несанкционированный доступ, размещение на сайтах без согласия субъекта
и прочие страшные вещи, которые творят операторы, попирая права и свободы
субъекта, нарушая неприкосновенность личной жизни? Их нет у меня в
приказе.
Принятый документ
вызывает массу вопросов. Основные, с моей точки зрения:
· зачем
такой приказ нужен, и что с ним делать?
· зачем
оператору определять вред, если надзор все уже определил?
· как
оценивать вред в случаях, не указанных в приказе, но явно нарушающих права
субъектов, в частности, при утечках, что является обязательным по закону?
Перечень вопросов могу
продолжать долго.
В сегодняшнем постике обойдемся без инструкций по применению и рецептов. У меня их нет. А проблема есть.
Спасибо, что подробно "препарируете" документы РКН. А то сам прочтешь и начинаешь сомневаться в себе, своих умственных способностях, то ли ты один не понял, то ли лыжи не едут.
ОтветитьУдалитьАбсолютно разделяю мнение автора, что "нафиг такой приказ упал" - он не даёт никаких ответов, а только добавляет вопросы.
ОтветитьУдалитьОни определили степень вреда при обработке биометрических и специальных категорий пдн, а не определили степень вреда для категории пдн "иные". Как так, Карл!? То есть "слить базу 1с с зарплатой" не нанесет вреда субъектам!?
вот и приближаются времена "Экономики защиты информации" и приближаются они в составе не только Информационной безопасности, но и как части Теории информации - экономики защиты. Времена когда при приеме на работу, на этап или стадию бизнес-процесса или просто "рабочее место" вместе с Разрешением на обработку ПД гражданин-соискатель должности будет подписывать Заявлении о не разглашении коммерческой тайны на сумму ХХХХХХ, в бизнес-процессе сумма стоимости всех "информационных активов" к которым получает доступ работник - кстати второе "белое пятно теории информации" пока никем не рассчитывалось! спасибо автору блога.
ОтветитьУдалитьПолностью разделяю возмущение автора. Этот приказ абсолютно не применим! Если ни один из перечисленных в приказе случаев не подходит к моей организации, то какой вывод мне сделать о степени вреда? Получается, что степень вреда нулевая?...
ОтветитьУдалитьда, ркн так ответил
Удалить