В Москве 8 ноября 2018 г. состоялась IX международная конференция «Защита персональных данных», организованная при поддержке Минкомсвязи РФ и Роскомнадзора. Среди спикеров конференции (с их полным списком можно ознакомиться на сайте самой конференции — https://zpd-forum.com/ru), конечно же были представители Роскомнадзора: Александр Жаров, Александр Панков, Антонина Приезжева и Юрий Контемиров.
Важной темой конференции стал вопрос развития международного правового регулирования защиты персональных данных (ПД) на примере GDPR и Модернизированной Конвенции Совета Европы №108. К дискуссии присоединились иностранные участники, в том числе представители уполномоченных органов по защите данных Азербайджана, Болгарии, Боснии и Герцеговины, Венгрии, Италии, Иордании, Китая, Сербии и Южно-Африканской Республики.
Представители Роскомнадзора напомнили, что Россия была в числе первых стран, которые подписали Конвенцию Совета Европы ETS-108, также наша страна участвовала в подготовке новой редакции текста Конвенции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание модернизированной Конвенции позволит России попасть в перечень стран, соответствующих GDPR.
Однако, одним из важнейших результатов подписания Россией Конвенции станет то, что у российских операторов появится обязанность уведомлять об утечках персональных данных и ответственность за ее невыполнение. Также было сказано о планах создания ресурса, на котором граждане смогут отозвать выданное ими ранее согласие на обработку собственных персональных данных.
Юрий Контемиров в своем выступлении уточнил, что Роскомнадзор осуществляет надзор за соблюдением законодательства о персональных данных в целом, включая нормы всех законов, связанных с обработкой ПД. При этом в 2018 году все территориальные управления Роскомнадзора вместе взятые составили 98 протоколов по административным правонарушениям в сфере персональных данных, квалифицируемых по статье 13.11 КоАП РФ в новой редакции. К примеру, по статье 19.7 КоАП РФ (неуведомление об обработке или неполучение ответа на запрос) составляется около 7000 протоколов в год.
Как уже известно, законодательство о персональных данных в совокупности с Постановлением Правительства РФ № 687 регулирует любую обработку ПД, в том числе неавтоматизированную в полном объеме. При этом Юрий Контемиров уточнил, что дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Кроме того, Ю. Контемиров явно отметил, что подписывать согласие на обработку в электронной форме можно любой электронной подписью, предусмотренной Федеральным законом «Об электронной подписи», а не только усиленной квалифицированной.
Также отдельно было разъяснено, что типовые формы, предусматривающие внесение в них персональных данных, в случае если они разработаны оператором самостоятельно, должны соответствовать требованиям пункта 7 Постановления Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», только если они созданы оператором самостоятельно.
«7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.»
А вот на формы, разработанные госорганами и органами управления внебюджетных фондов в рамках их полномочий, как было заявлено на конференции, эти требования не распространяются. При этом номер телефона или государственный знак автомобиля сами по себе (без привязки к конкретному субъекту ПД) не являются персональными данными.
Представитель ФСТЭК Елена Торбенко заявила, что подход Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств защиты информации в форме испытания и приемки можно применять и при построении системы защиты ПД, но владелец системы должен осознавать ответственность за качество и обоснованность такой оценки. Представитель ФСБ А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку соответствия в форме сертификации в своей системе. Сертификация прикладного ПО, используемого для обработки персональных данных, не требуется, если в нем нет функций защиты от актуальных угроз. Но любой заказчик вправе потребовать такую сертификацию от поставщика или исполнителя, если сочтет ее необходимой.
Помимо этого, на конференции «Защита персональных данных» состоялась церемония подписания Кодекса добросовестных практик (Кодекса этической деятельности (работы) в сети «Интернет»). К документу присоединились Торгово-промышленная палата России, ООО «Деловая Россия», ООО «Опора России», Московский государственный университет имени М.В. Ломоносова, а также представители зарубежного бизнеса – Ассоциация европейского бизнеса, Американская торговая палата в России и Российско-Германская внешнеторговая палата.
Статья подготовлена по материалам https://emeliyannikov.blogspot.com и https://zpd-forum.com/ru.