В Москве 8 ноября 2018 г. состоялась IX международная конференция «Защита персональных данных», организованная при поддержке Минкомсвязи РФ и Роскомнадзора. Среди спикеров конференции (с их полным списком можно ознакомиться на сайте самой конференции — https://zpd-forum.com/ru), конечно же были представители Роскомнадзора: Александр Жаров, Александр Панков, Антонина Приезжева и Юрий Контемиров.
Важной темой конференции стал вопрос развития международного правового регулирования защиты персональных данных (ПД) на примере GDPR и Модернизированной Конвенции Совета Европы №108. К дискуссии присоединились иностранные участники, в том числе представители уполномоченных органов по защите данных Азербайджана, Болгарии, Боснии и Герцеговины, Венгрии, Италии, Иордании, Китая, Сербии и Южно-Африканской Республики.
Представители Роскомнадзора напомнили, что Россия была в числе первых стран, которые подписали Конвенцию Совета Европы ETS-108, также наша страна участвовала в подготовке новой редакции текста Конвенции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание модернизированной Конвенции позволит России попасть в перечень стран, соответствующих GDPR.
Однако, одним из важнейших результатов подписания Россией Конвенции станет то, что у российских операторов появится обязанность уведомлять об утечках персональных данных и ответственность за ее невыполнение. Также было сказано о планах создания ресурса, на котором граждане смогут отозвать выданное ими ранее согласие на обработку собственных персональных данных.
Юрий Контемиров в своем выступлении уточнил, что Роскомнадзор осуществляет надзор за соблюдением законодательства о персональных данных в целом, включая нормы всех законов, связанных с обработкой ПД. При этом в 2018 году все территориальные управления Роскомнадзора вместе взятые составили 98 протоколов по административным правонарушениям в сфере персональных данных, квалифицируемых по статье 13.11 КоАП РФ в новой редакции. К примеру, по статье 19.7 КоАП РФ (неуведомление об обработке или неполучение ответа на запрос) составляется около 7000 протоколов в год.
Как уже известно, законодательство о персональных данных в совокупности с Постановлением Правительства РФ № 687 регулирует любую обработку ПД, в том числе неавтоматизированную в полном объеме. При этом Юрий Контемиров уточнил, что дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Кроме того, Ю. Контемиров явно отметил, что подписывать согласие на обработку в электронной форме можно любой электронной подписью, предусмотренной Федеральным законом «Об электронной подписи», а не только усиленной квалифицированной.
Также отдельно было разъяснено, что типовые формы, предусматривающие внесение в них персональных данных, в случае если они разработаны оператором самостоятельно, должны соответствовать требованиям пункта 7 Постановления Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», только если они созданы оператором самостоятельно.
«7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реест��ы и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.»
А вот на формы, разработанные госорганами и органами управления внебюджетных фондов в рамках их полномочий, как было заявлено на конференции, эти требования не распространяются. При этом номер телефона или государственный знак автомобиля сами по себе (без привязки к конкретному субъекту ПД) не являются персональными данными.
Представитель ФСТЭК Елена Торбенко заявила, что подход Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств защиты информации в форме испытания и приемки можно применять и при построении системы защиты ПД, но владелец системы должен осознавать ответственность за качество и обоснованность такой оценки. Представитель ФСБ А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку соответствия в форме сертификации в своей системе. Сертификация прикладного ПО, используемого для обработки персональных данных, не требуется, если в нем нет функций защиты от актуальных угроз. Но любой заказчик вправе потребовать такую сертификацию от поставщика или исполнителя, если сочтет ее необходимой.
Помимо этого, на конференции «Защи��а персональных данных» состоялась церемония подписания Кодекса добросовестных практик (Кодекса этической деятельности (работы) в сети «Интернет»). К документу присоединились Торгово-промышленная палата России, ООО «Деловая Россия», ООО «Опора России», Московский государственный университет имени М.В. Ломоносова, а также представители зарубежного бизнеса – Ассоциация европейского бизнеса, Американская торговая палата в России и Российско-Германская внешнеторговая палата.
Статья подготовлена по материалам https://emeliyannikov.blogspot.com и https://zpd-forum.com/ru.
