13 декабря 2022 г.

Оценка вреда: анализируем новые требования

Как знают все интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией пункта 5 части 1 статьи 18.1 закона «О персональных данных», оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения данного закона, должна проводиться оператором в соответствии с требованиями, установленными Роскомнадзором.

Делается эта оценка, как следует из текста закона, для обеспечения соотношения вреда и мер, принимаемых оператором для обеспечения выполнения обязанностей, предусмотренных законом.

То есть чем больше вред, тем больше придется потратить сил и средств для предотвращения его нанесения субъектам. А если вред незначительный, то тратиться особо ни к чему, поскольку в этом случае ничего больше мыши гора все равно не родит.

Кто не помнит, и уровни защищенности должны были быть определены с учетом возможного вреда субъекту, поскольку чем уровень выше, тем больше и объемнее и состав мер по обеспечению безопасности персональных данных. Но в Постановлении Правительства РФ № 1119 от 01.11.2012 про вред нет ни слова, поэтому и уровни мы благополучно определяли без его учета.

С того же 1 сентября вред надо оценивать также при утечке персональных данных и указывать его в уведомлении, направляемом в Роскомнадзор о произошедшей утечке персональных данных, которая деликатно именуется в законе «фактом неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных».

Прежде чем пойти дальше, обратим внимание на два момента, зафиксированных в законе:

·        вред наносится именно субъекту персональных данных (казалось бы, очевидно, но как будет видно ниже, нет);

·        вред возникает при нарушении требований закона «О персональных данных» (даже если субъекту крайне неприятно то, что сделал оператор, но закон не нарушен, перспективы возмещения убытков и компенсации морального вреда более чем туманны). 

И вот 29 ноября свершилось! После согласования и регистрации в Минюсте был опубликован Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"».

Следуя сложившейся в последнее время традиции, текст требований, утвержденных приказом, существенно отличается от того, который был опубликован для обсуждения на портале раскрытия информации regulation.gov.ru. Наверное, потому что были учтены многочисленные предложения и пожелания обсуждавших его специалистов.

Приказ требует от оператора для оценки вреда субъекту определить одну из трех степеней вреда (высокая, средняя, низкая), который может быть причинен субъекту персональных данных в случае нарушения закона (определить для оценки вреда одну из степеней – так буквально и написано в приказе). Правда, зачем это делать оператору, совершенно не понятно, поскольку в приказе случаи, в которых возникает та или иная степень вреда, определены в виде закрытого перечня.

А вот сами случаи, когда возникает та или иная степень вреда, требуют более детального рассмотрения. Внимательно проштудировав приказ, я разделил их на три группы:

·        когда действия оператора прямо нарушают закон;

·        когда обработка (видимо, по мнению авторов приказа) создает высокие риски для субъекта в случае инцидента, но сама по себе закон не нарушает;

·         когда никакого нарушения закона нет или субъекту вообще совершенно безразлично, что делает в данном случае оператор. 

Наличие случаев, не нарушающих закон, но наносящих вред субъекту, мягко говоря, удивляет. Но давайте разбираться дальше.

Действия оператора, нарушающие закон:

·       обработка персональных данных несовершеннолетних для исполнения договора или заключения договора в случаях, не предусмотренных законодательством РФ (интересно только, является ли сама статья 26 ГК РФ случаем, предусматривающих возможность заключения сделок несовершеннолетними, и, соответственно, заключение с договоров с ними предусмотренным законодательством основанием по мнению авторов закона «О персональных данных»?);·         сбор персональных данных в базы данных, находящиеся за пределами РФ;

·        обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора (правда, слов при отсутствии в этом случае согласия субъекта в приказе нет, но будем считать, что авторы исходили из буквального прочтения принципов обработки, установленных статьей 5);

·        получение согласия на обработку, предусматривающего обработку персональных данных определенным и (или) неопределенным кругом лиц в целях, не совместимых между собой (это одно нарушение или два?).

Действия оператора, закон не нарушающие, но создающие риски для субъекта:

·        обработка специальных категорий персональных данных или биометрии в случаях, когда законами не установлены цели, порядок и условия обработки данных; но и в статье 10, и в статье 11 определено такое основание обработки, как наличие согласия субъекта в письменной форме, и обработка при его наличии в целях, указанных в согласии, закон никак не нарушает; тем не менее приказ относит такую обработку к создающей максимальную, высокую степень вреда;

·        обезличивание персональных данных для скорринга или проведения исследований, отличных от статистических или от (внимание!) иных исследовательских целей (вот прямо так, исследований, отличных от иных исследовательских целей); но в части 1 статьи 6 есть такое основание обработки, как согласие; и что тогда нарушает закон, если субъект с обезличиванием согласился?

·        распространение персональных данных на официальном (а на неофициальном можно?) сайте оператора в сети Интернет, предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия представления (и снова вопрос о согласии как законном основании, прямо предусмотренным статьей 10.1);

·        продвижение товаров, работ, услуг на рынке путем прямых контактов с потребителем с использованием баз персональных данных, владельцем которых является иной оператор (видимо, опять подразумевается отсутствие согласия субъекта на это, но поручение в этом случае обработки, например, обзвона клиентов, колл-центру с передачей базы данных для исполнения поручения и согласии субъекта также закон не нарушает);

·        получение согласия на обработку персональных данных на сайте в сети Интернет (конечно, официальном) без дальнейшей идентификации и (или) аутентификации субъекта; законом такие действия не запрещены и во многих случаях избыточны, например, при заказе доставки товара через сайт.

Действия оператора, соответствующие закону:

·        поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ, которое законом не запрещено;

·        ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных; в соответствии с законом – вообще без комментариев;

·        назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным работником оператора; закон прямо предусматривает такую возможность, а субъекту совершено безразлично в музыкальном, цветовом, ботаническом и иных аспектах, кто там у оператора ответственное лицо.

Извините, но это все. Больше никаких случаев возникновения вреда субъекту в приказе нет. А где же утечки, несанкционированный доступ, размещение на сайтах без согласия субъекта и прочие страшные вещи, которые творят операторы, попирая права и свободы субъекта, нарушая неприкосновенность личной жизни? Их нет у меня в приказе.

Принятый документ вызывает массу вопросов. Основные, с моей точки зрения:

·        зачем такой приказ нужен, и что с ним делать?

·        зачем оператору определять вред, если надзор все уже определил?

·        как оценивать вред в случаях, не указанных в приказе, но явно нарушающих права субъектов, в частности, при утечках, что является обязательным по закону?

Перечень вопросов могу продолжать долго.

В сегодняшнем постике обойдемся без инструкций по применению и рецептов. У меня их нет. А проблема есть.

5 комментариев:

  1. Спасибо, что подробно "препарируете" документы РКН. А то сам прочтешь и начинаешь сомневаться в себе, своих умственных способностях, то ли ты один не понял, то ли лыжи не едут.

    ОтветитьУдалить
  2. Абсолютно разделяю мнение автора, что "нафиг такой приказ упал" - он не даёт никаких ответов, а только добавляет вопросы.
    Они определили степень вреда при обработке биометрических и специальных категорий пдн, а не определили степень вреда для категории пдн "иные". Как так, Карл!? То есть "слить базу 1с с зарплатой" не нанесет вреда субъектам!?

    ОтветитьУдалить
  3. вот и приближаются времена "Экономики защиты информации" и приближаются они в составе не только Информационной безопасности, но и как части Теории информации - экономики защиты. Времена когда при приеме на работу, на этап или стадию бизнес-процесса или просто "рабочее место" вместе с Разрешением на обработку ПД гражданин-соискатель должности будет подписывать Заявлении о не разглашении коммерческой тайны на сумму ХХХХХХ, в бизнес-процессе сумма стоимости всех "информационных активов" к которым получает доступ работник - кстати второе "белое пятно теории информации" пока никем не рассчитывалось! спасибо автору блога.

    ОтветитьУдалить
  4. Полностью разделяю возмущение автора. Этот приказ абсолютно не применим! Если ни один из перечисленных в приказе случаев не подходит к моей организации, то какой вывод мне сделать о степени вреда? Получается, что степень вреда нулевая?...

    ОтветитьУдалить