Сми и закон о персональных данных. Согласия не требуется: Роскомнадзор разрешил СМИ публиковать инфу о «звездах

По сравнению с государственной тайной сведения о частной жизни граждан образуют как бы другой полюс информационной безопасности. В юридической литературе используется термин «персональные данные» . Закон «Об информации, информатизации и защите информации» дает такое определение: «информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Закон запрещает сбор, хранение, использование и распространение информации о частной жизни, а также информации, нарушающей ряд тайн: личной и семейной жизни, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, если на то нет согласия самого человека или решения суда. Предусматривается, что перечень персональных данных, собираемых государственными и иными организациями, должен быть закреплен на уровне федерального закона. Наконец, деятельность государственных организаций и частных лиц, связанная с обработкой и распространением персональных данных, подлежит лицензированию.

Как видим, этот массив сведений необычайно многолик и не поддается простому перечислению. Более того, существуют законы о различных областях деятельности, в которых вводятся специальные, профессиональные ограничения на использование информации личного характера. Например, Закон «О банках и банковской деятельности» закрывает доступ посторонним лицам к тайне частных вкладов и операций, Закон «О частной детективной и охранной деятельности» фактически запрещает негосударственным структурам скрытое проникновение в личную жизнь граждан, медицинское законодательство охраняет сведения о состоянии здоровья человека и его обращении к врачам и т.д. Таким образом, сохранение личных секретов становится мотивом для установления профессиональных тайн.

Обилие такого рода норм и их разбросанность по различным правовым документам побуждают к разработке специального законодательства о персональных данных. Другая причина заключается в интенсивном развитии системы электронных коммуникаций. Если еще вчера для изучения истории болезни человека нужно было забираться в картотеку лечащего врача, то сегодня, когда эти сведения занесены в компьютеры, они стали едва ли не общедоступными. Появилась опасность утечки информации поверх государственных границ. Вот почему внимание к этой проблеме обострено во всем мире.

В России сформировались концептуальные установки для грамотного использования информации персонального характера. Так, в ее составе есть сведения, которые, как правило, нецелесообразно засекречивать (например, справочная информация, без которой не смогли бы действовать адресные столы и не издавались бы телефонные книги) – они, значит, открыты и для оглашения в прессе. В то же время к услугам СМИ сегодня предлагаются полулегальные компьютерные базы конфиденциальных данных. В распространении таких фактов требуются предельная осторожность и щепетильность. Сообщение информации о человеке без его ведома может быть истолковано как нарушение личных интересов, а за это установлена юридическая ответственность. По Гражданскому кодексу, задетый излишне любопытным корреспондентом человек имеет право ставить вопрос о возмещении ему морального вреда.

Вот некоторые типичные ситуации. Фоторепортер запечатлевает скандальную жанровую сцену (скажем, демонстрацию политических экстремистов), и в кадре ее участниками выглядят случайные прохожие. Согласно Закону «О средствах массовой информации», он обязан был принять меры против возможной идентификации посторонних лиц. Еще пример – недруги репортера-«разгребателя грязи» публикуют статью о том, как он в детстве лечился у психотерапевта. Или такой случай: столкнувшись с отказом кинорежиссера дать интервью, находчивый радиожурналист тайком включает магнитофон, чтобы записать телефонный разговор мэтра с актрисой...

Заметим, что скрытая запись не исключается законом – она должна быть мотивирована соблюдением конституционных прав и свобод гражданина и защитой общественных интересов. Однако и здесь есть существенные детали: данное положение распространяется на запись общих планов (например массового спортивного зрелища), тогда как на съемку или аудиозапись конкретного человека в любом случае требуется его согласие.

Журналисты сталкиваются с проблемой охраны частной жизни и в другом качестве – иногда они сами становятся объектами неправомерного наблюдения и слежки. Законодательство РФ запрещает проведение оперативно-розыскных мероприятий для сбора информации о частной жизни граждан, если это не является способом борьбы с преступлениями. Причиной избыточного интереса к представителям СМИ служит их профессиональная активность. Об одной из таких историй рассказала газета «Известия». Сотрудница «Комсомольской правды» поняла, что за ней следят, после того, как опубликовала серию критических статей об областной милиции. Она не только обратилась с заявлением в прокуратуру, но и направила в Конституционный суд жалобу, в которой поставила под сомнение ряд положений Закона «Об оперативно-розыскной деятельности». Так милицейская тема ее статей получила развитие в форме публичной общественной деятельности.

18. Порядок аккредитации редакции СМИ

Особые права журналистов: посещать государственные органы, их организации или пресс-службы. Возможность аккредитации – дополнительная услуга, которая создаёт благоприятные условия деятельности: журналист получает дополнительные гарантии допуска к информации, предупреждается о заседаниях и других мероприятиях, обеспечивается стенограммами и другими документами, ему обеспечиваются условия для производства записи.

Произвольно нельзя лишить аккредитации , нужны официальные основания (нарушение правил информации, распространение несоответствующих действительности сведений об организации) - это подтверждается решением суда. Есть рекомендательные правила комитета гласности – механизм аккредитации, количество сотрудников СМИ с аккредитацией, какие места занимать при работе и т. д.

Герман Галкин, редактор сетевого издания Lentachel.ru

С 1 июля произошло ужесточение законодательства, серьезно затрудняющее работу средств массовой информации. При этом прошедшая 28 июня видеоконференция Уральского управления Роскомнадзора не сильно внесла ясность в перечень новых запретов и ограничений. Более того, выяснилось, что сотрудники уральского и челябинского Роскомнадзора по-разному понимают вводимую систему ограничений.

О том, что можно считать главным ограничением, уже говорили. Теперь фактически закрыта сама возможность журналистских расследований, без которых журналистики вообще-то не бывает. Закон о защите персональных данных резко ужесточает ответственность за несогласованное разглашение этих самых персональных данных граждан. Понятно, что журналистов интересуют чаще всего не рядовые граждане, а политики, чиновники, известные предприниматели, руководители силовых структур. Те или иные нарушения закона допускают все вышеперечисленные категории лиц. Беда для прессы теперь в том, что, если журналисты допустили «утечку» персональных данных, это будет расцениваться как …злоупотребление свободой СМИ. А персональные данные - это фактически любая информация об объекте журналистского расследования. Редакция СМИ может в два счета получить предупреждение Роскомнадзора. Не стоит лишний раз напоминать, что два предупреждения за год - уже есть повод для иска в суд о прекращении деятельности средства массовой информации. Фактически в России таким образом запрещают журналистику.

Я не преувеличиваю. Поскольку даже при использовании данных из открытых источников прессу теперь дополнительно ограничивают. Отныне журналисты имеют право брать из открытых источников только имя и фамилию (без отчества) героя материала, а также его должность или место работы. Описывать, где человек и как живет, с кем общается, уже будет считаться нарушением закона. Причем, для СМИ будет нарушением закона опубликовать даже то, что человек сам опубликовал о себе в социальных сетях. Понятно, что можно поступить по-другому: подробно рассказать о жизни человека, но изменить имя или использовать лишь инициалы. Однако в этом случае становится уже непонятно, о ком идет речь. И теряется сам смысл журналистской работы. Благодаря прессе цивилизованное общество контролирует деятельность высокопоставленных должностных лиц, включая депутатов, мэров, губернаторов, президента.

Согласно введенным изменениям в закон о персональных данных, главным критерием для того же Роскомнадзора является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно, видите ли, свободно размещать в СМИ. Правда, возникает вопрос - кому такая информация вообще будет нужна?

На встречах с юными журналистами я всегда советую читать «Универсального журналиста» Дэвида Рэндалла. Эта книга была написана в помощь молодым журналистам именно России. Напомню ключевой, на мой взгляд, момент из этого пособия: «Хорошие журналисты во всем мире одинаково понимают свою роль. Прежде всего, это означает задавать вопросы и сомневаться. Затем:

Отыскивать и публиковать информацию вместо слухов и измышлений.

Сопротивляться правительственному контролю или вовсе избегать его.

Информировать избирателей.

Тщательно расследовать действия и бездействие правительств, выборных представителей и общественных организаций.

Исследовать мир бизнеса, обращение с рабочими и покупателями и качество продукции.

Облегчать жизнь пострадавшим и тревожить удобно устроившихся, предоставляя свой голос тем, кто лишен возможности быть услышанными.

Держать зеркало у лица общества, показывая его достоинства и пороки, развенчивая лелеемые им мифы.

Работать на торжество правосудия, демонстрируя его победы и расследуя поражения.

Содействовать свободному обмену идеями, особенно - такими, которые идут вразрез с господствующей идеологией.»

В условиях изменившегося российского законодательства выполнять свое вышеописанное предназначение СМИ в России больше не смогут. На нас надели намордник в лице указанного закона и Роскомнадзора. Теперь автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. В некоторых ситуациях это согласие должно быть дано еще и в письменной форме - эти случаи перечислены в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». В частности, в статье 8 говорится: «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.» И тут же добавляется: «Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

Разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Как, скажите, описывать теперь работу политиков? У каждого из них каждое СМИ теперь до публикации должно спрашивать разрешения на обнародование его политических взглядов? Даже если он состоит в той или иной партии? Абсурд.

Нелегче с фото и видеоматериалами. Если на фото и видео можно опознать человека, это считается распространением биометрических данных и требует …согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ опять-таки есть лишь один выход - публиковать фотографии без подписей или давать минимальную информацию под ними. И то это будет рискованно.

Во время видеоконференции 28 июня я, как редактор сетевого издания Lentachel.ru, задал вопрос представительнице Уральского управления Роскомнадзора, которая вела конференцию. Вопрос касался одной из прежних наших публикаций, в которой челябинское управление Роскомнадзора усмотрело нарушения и потребовало убрать подробности происшествия. А происшествие было такое. На сайте службы спасения рассказывалось, как мужчина бросился с моста в реку. И прямо говорилось про попытку суицида. В публикации на Lentachel.ru не использовались слова "суицид", "самоубийство", тем не менее челябинский Роскомнадзор решил, что детали происшествия указывают именно на попытку самоубийства и потребовал скорректировать заметку или же вовсе удалить с сайта. Мы пошли первым путем. И внесли корректировку: "Новость временно отключена в связи с жалобой от Роскомнадзора в адрес сайта Lentachel.ru. В новости была информация от пресс-службы областной поисково-спасательной службы о том, что мужчина что-то сделал, о чем нельзя говорить на нашем сайте, но можно говорить на сайте областной поисково-спасательной службы."

Я описал этот случай представительнице уральского управления Роскомнадзора в присутствии всех участников видеоконференции. В ответ услышал, что достаточно было внести слово "предположительно" рядом со словом "самоубийство". И вопрос был бы снят. Я пояснил, что у нас в заметке в принципе не было слова "самоубийство". Стало быть, и сглаживать словом "предположительно" было нечего. Ведущая видеоконференции замялась. Потом сослалась на то, что не видит контекст.

Какие можно сделать выводы? Во-первых, что журналистика посредством новых законодательных ограничений уничтожается фактически в России на корню. Цензура по Конституции запрещена. Однако есть масса ограничений, которые фактически лишают журналистов возможности заниматься журналистикой. Во-вторых, есть основания думать, что отдельно взятый челябинский Роскомнадзор превышает свои полномочия. В-третьих, что в системе Роскомнадзора нет четких критериев оценки для обнаружения нарушений. А значит, драконовские изменения в законах будут дополнительно усилены своеобразным «пониманием» их применения в данном контролирующем ведомстве.

На видеоконференции челябинские журналисты просили представителя ведомства выдать письменные инструкции, что все-таки будет запрещено с 1 июля. Однако таковых не дождались. Как пояснила представительница Уральского управления Роскомнадзора, каждый случай индивидуален. Поэтому и решать Роскомнадзор будет индивидуально с каждым. Ничего хорошего для СМИ такой подход не сулит.

При таких ограничениях, да еще и «творческих» подходах Роскомнадзора прессе работать будет чрезвычайно трудно, если вообще возможно. Надо будет, видимо, уточнить имена тех, принимал данный безумный закон. И конечно, запомнить имена тех, кто с таким усердием его исполнял. Когда придет время закон о персональных данных в его нынешнем виде отменять (не факт, что все нынешние СМИ к тому времени выживут), можно будет вспомнить "героев" поименно. И воздать им по заслугам. Разумеется, в соответствии с нормами закона!

В Роскомнадзоре уже приводили пример, когда публикация о доходах госслужащего была определена как нарушение закона! Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги. В тексте журналист дописал должность жены служащего и прочую информацию. Последовала жалоба от «пострадавших».

Претензии теперь могут, оказывается, возникнуть даже к публикациям, где дается справка о карьерной истории чиновника - где он учился, жил, работал. И в таком случае журналисту будет необходимо брать согласие у «субъекта персональных данных».

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

• с какой целью вы собираете персональные данные;
• не собираете ли вы их больше, чем нужно для ваших целей;
• сколько храните персональные данные;
• есть ли политика обработки персональных данных;
• собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

• Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
• Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
• Приказ о назначении ответственного за организацию обработки ПДн.
• Должностная инструкция ответственного за организацию обработки ПДн.
• Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
• Перечень информационных систем персональных данных (ИСПДн).
• Регламент предоставления доступа субъекта к его ПДн.
• Регламент расследования инцидентов.
• Приказ о допуске работников к обработке ПДн.
• Регламент взаимодействия с регуляторами.
• Уведомление РКН и пр.
• Форма поручения обработки ПДн.
• Модель угроз ИСПДн.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ .

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

• тип персональных данных (специальные, биометрические, общедоступные и иные);
• кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
• количество субъектов персональных данных – более или менее 100 тыс.
• типы актуальных угроз.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 .

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком "+" обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

• заинтересован продать побольше сертифицированных СЗИ;
• будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России .

Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ .

KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Прошло почти пять лет с момента принятия поправок в федеральный закон № 152-ФЗ «О персональных данных», повлекших обязанность операторов ПДн обеспечивать обработку личной информации российских граждан на территории Российской Федерации*. Политическая подоплека этой инициативы и жаркие споры вокруг нее давно забылись, осталось главное: исполнение требований закона.

Как один из крупнейших операторов коммерческих дата-центров в России, мы работаем с десятками клиентов, и видим, что далеко не всегда бизнес понимает, что именно необходимо предпринять для исполнения требований Федерального Закона № 152.

Самый распространенный сценарий, который запрашивают клиенты - осуществить перенос данных в облако на территории РФ. Экономическая выгода от использования виртуальных мощностей ЦОД вместо покупки и обслуживания собственных серверов - очевидный факт, но это не все, что требуется от компаний.

Не только перенос данных

Чаще всего компанию Linxdatacenter спрашивают: «Расположен ли ваш ЦОД на территории РФ?». Самые продвинутые заказчики интересуются, есть ли у хостинг-провайдера лицензия ФСТЭК на техническую защиту конфиденциальной информации («ТЗКИ»), зачастую не понимая при этом, зачем может потребоваться такая лицензия и какие дополнительные гарантии клиентам может предоставить ЦОД, обладающий этой лицензией.

Кроме требований 152-ФЗ к хранению данных в России существует множество других требований, стандартов и регламентов, относящихся к техническим и процедурным моментам управления ресурсами дата-центров. Говоря о персональных данных, важно понимать, что один лишь факт наличия лицензий, аттестатов и сертификатов не приближает клиента к обеспечению комплаенса по 152-ФЗ.

Только честно: зачем это нужно

В 2017 году статья 13.11 КоАП, устанавливающая ответственность за нарушение законодательства РФ в области персональных данных, претерпела существенные изменения: были конкретизированы составы нарушения (вместо одного состава появилось семь), существенно увеличены штрафы за нарушение требований работы с персональными данными. Вместе с тем, при действующем подходе регулятора компания штрафуется однократно за совокупность аналогичных нарушений, а не за каждое отдельное нарушение (например, если в компании неправильная форма согласия на обработку ПДн, которую заполнили 100 субъектов ПДн, компания будет оштрафована однократно, а не в стократном размере). Очевидно, что в масштабе бизнеса крупных компаний (а с большими объемами персональных данных работают именно такие - банки, страховщики, ритейлеры, агрегаторы по продаже билетов) эти штрафы не представляют серьезную проблему. Вопрос, скорее, в репутационных издержках, которые в случае возникновения утечек намного выше.

По мере развития цифровой экономики риски в области информационной безопасности только растут. По данным Infowatch , объем скомпрометированных данных по всему миру в 2017 году вырос в несколько раз.

Специалисты по безопасности фиксируют все больше случаев, когда данные утекают из облака на стороне самой компании: технические сотрудники забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы. Например, также в 2017 году была зафиксирована утечка персональных данных около 14 млн клиентов с облачного репозитория оператора Verizon из-за неверных действий команды администраторов.

Поделить ответственность

Кто несет ответственность за соблюдение требований и за возможные утечки? Аутсорсинг, при котором персональные данные обрабатываются сторонней компанией, разрешен законом (п. 3 ст. 6 152-ФЗ). Сервис-провайдер, принимая на себя обязанности по обработке данных, разделяет и юридическую ответственность бизнеса клиента.

Бизнесу порой кажется, что распределение ответственности с сервис-провайдером за обработку персональных данных - самая масштабная задача. Вместе с тем, клиенты упускают важный момент в вопросе комплаенса по 152-ФЗ. Перемещение одной (двух, трех) информационных систем в защищенную инфраструктуру ЦОД само по себе не обеспечивает соблюдения клиентом законодательства о персональных данных.

Выбор надежного партнера по обработке и хранению персональных данных - важнейший шаг.

Наибольшую значимость при выборе имеет экспертиза компании в работе с конфиденциальными сведениями. Вместе с тем, это лишь один из аспектов соблюдения требований: для обеспечения безопасности и конфиденциальности персональных данных, на которое и рассчитан 152-ФЗ, оператор данных должен предпринимать организационные, технические и правовые меры.

Без проведения комплексного аудита на соответствие требованиям 152-ФЗ не обойтись. Важнейший момент здесь - осознать, что аудит нужен не Роскомнадзору, а самой компании. Анализ принятых в компании бизнес-процессов и соотнесение их с установленными в законе правилами помогает компании выявить узкие места в схеме работы с конфиденциальной информацией. Вот тут и встает вопрос о привлечении лицензиата ФСТЭК.

Следует упомянуть, что на сегодняшний день у регулятора отсутствуют полномочия проверять бизнес на предмет соблюдения законодательства о персональных данных в части принятия необходимых организационных и технических мер**. Такой подход выводит на первый план правовые меры, предусмотренных 152-ФЗ - разработка локальных актов, назначение лица, ответственного за обработку данных и т.д. Вместе с тем, важно осознать, что усилия по обеспечению комплаенса в области обработки данных представляют собой комплексный процесс: правовые меры обеспечения безопасности данных неразрывно связаны с организационными и техническими мерами, и не существуют в отрыве друг от друга.

У бизнеса должна выработаться привычка осуществлять последовательные непрерывные действия, направленны е на недопущение компрометации данных.

Как проходит аудит?

Это довольно трудоемкая процедура, с которой может успешно справиться только опытный сервис-провайдер, обладающий правовой и технической экспертизой. Сам оператор персональных данных как правило не обладает достаточными знаниями и опытом проведения подобных мероприятий, ввиду чего привлечение профессионалов на этапе построения системы защиты персональных данных является крайне желательным.

Аудит включает оценку бизнес-процессов компании, касающихся работы с данными, анализ локальных нормативных актов, договоров с контрагентами и тд.

Перед специалистами сервис-провайдера стоит ряд задач:

выявить все недочеты в бизнес-процессах аудируемого клиента,

определить перечень информационных систем, в которых осуществляется обработка персональных данных (ИСПДн),

смоделировать угрозы, актуальные для каждой ИСПДн клиента,

подготовить технический проект для системы защиты персональных данных клиента (СЗПДн).

После это специалисты разрабатывают комплект организационно-распорядительной документации, который может включать в себя около 40 различных документов, пошагово регламентирующих процессы обработки данных внутри компании. На базе этой документации принимаются необходимые организационные, технические и правовые меры для защиты персональных данных.

По сути, результат такой работы представляет собой индивидуальное проектное решение для конкретного бизнеса, которое сочетает в себе элементы правового и технического консалтинга в области информационной безопасности.

Дорогое бездействие

Гарантия надежной защиты персональных данных и любой ценной для бизнеса информации является такой же мерой качества современных ИТ-сервисов, как и их базовые характеристики.

Отсутствие должного понимания важности качественной защиты информации является глобальной проблемой, и не нужно думать, что Россия в этом отношении как-то выделяется.

Появление в 2006 году Федерального закона «О персональных данных» заставило существенно пересмотреть сам принцип работы с информацией персонального характера. С какими проблемами столкнулись СМИ после принятия данного законодательного акта? На что теперь приходится обращаться повышенное внимание? Как минимизировать риск того, что «очень грамотный» читатель (зритель) может подать на СМИ жалобу в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор)?

Сегодня «новости в газетах, статьи, телевизионные сюжеты, являются конечным продуктом в той технологической цепочке, которая начинается с работы журналиста на своем персональном компьютере и заканчивается электронным архивом готового продукта, доступным многим, в том числе через Интернет». В связи с этим нормы, касающиеся персональных данных, распространяются на всю эту технологическую цепочку. Обозначившаяся в последние годы тенденция превалирования на рынке СМИ «электронных изданий» создает качественно новую ситуацию. Появившиеся технологии позволяют теперь идентифицировать потребителей (подписчиков), а это напрямую связано с вопросами обработки персональных данных субъектов .

Возникает сразу два вопроса. Являются ли СМИ операторами персональных данных? Необходимо ли редакции направлять уведомление о своем намерении осуществлять обработку персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор)?

На первый вопрос ответ однозначно будет ДА. Во-первых, любая редакция, как минимум, обрабатывается данные своих сотрудников, внештатных корреспондентов. Почти во всех редакциях (особенно крупных СМИ) хранятся базы данных «интересных» и «полезных» людей, героев публикаций. В них зачастую фигурируют не только служебные контакты, но и мобильный, домашний телефон, адрес проживания.

Во-вторых, уже упомянутые нами подписчики. Сегодня чаще всего функции по привлечению подписчиков и организации подписной компании выполняет сторонняя организация, нанятая редакцией по договору. Но, согласно нормам Федерального закона «О персональных данных», оператором персональных данных все равно является редакция, так как именно она определяет в этом случае «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными» (пункт 2 статьи 3). Конечно, издания стремятся исключить из баз подписчиков информацию, позволяющую идентифицировать субъекта персональных данных, и если с электронными СМИ это, в большинстве случаев, возможно, то в отношении печатных СМИ, где рассылка изданий осуществляется на конкретный адрес и конкретному гражданину, это чаще всего нереально. Если же мы будем говорить о пользователях кабельных каналов, то они оформляют подключение через заключение договора, где фигурируют и паспортные данные абонента.

Теперь о том, что касается уведомления. Можно пытаться оперировать различными статьями, которые позволяют избежать выполнения этого «формального» шага. Например, говорить о том, что данные сотрудников обрабатываются в соответствии с трудовым законодательством, что данные подписчиков обрабатываются с целью выполнения договора, стороной которого является субъект персональных данных. Но в последнем случае для того, чтобы не подавать уведомление, персональные данные подписчиков должны не распространяться, не передаваться третьим лицам без согласия субъекта, а самое главное – использоваться ИСКЛЮЧИТЕЛЬНО для исполнения указанного договора. Однако, как нам кажется, все-таки не стоит тратить время, чтобы избежать неизбежного, так как практика проведения контрольно-надзорных мероприятий уже доказала, что непредставление уведомления в Роскомнадзор – одно из наиболее типичных нарушений, на которое при проверке СМИ обращают внимание сотрудники этого ведомства. Также как и на неполноту и недостоверность сведений, содержащихся в данном документе.

Проверка редакции газеты «Светлый путь» по жалобе одного из читателей. В ходе проверки фактов, изложенных в обращении, были выявлены нарушения редакцией газеты «Светлый путь» части 1 статьи 22 ФЗ «О персональных данных». По данному факту в отношении юридического лица ГУП Оренбургской области «Редакция Переволоцкой районной газеты «Светлый путь» составлен административный протокол по ст. 19.7 КоАП РФ, который направлен на рассмотрение в суд .

25 апреля 2022 года. Приморский край. Плановая выездная проверка Муниципального унитарного предприятия Редакция телепрограмм «Тихоокеанское телевидение» г. Фокино. (МУП РТ «ТТВ» г. Фокино). Обработка персональных данных осуществляется с нарушением требований части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» - в регистрирующий орган представлено уведомление об обработке персональных данных с неполными или недостоверными сведениями. По факту нарушения законодательства о персональных данных составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ, который направлен для рассмотрения мировому судье судебного участка № 67 г. Фокино Приморского края. Выдано предписание об устранении выявленного нарушения. В настоящее время нарушение, указанное в предписании устранено .

Какие же «льготы» и привилегии (если можно так выразиться) дает закон «О персональных данных» журналистам, осуществляющим свою профессиональную деятельность? Для начала определимся, что Закон Российской Федерации от 27 декабря 1991 года №2124-1 «О средствах массовой информации» содержит определение понятия «журналист», связывая его деятельность с официально зарегистрированным средством массовой информации :

«… под журналистом понимается лицо, занимающееся редактированием, созданием, сбором или подготовкой сообщений и материалов для редакции зарегистрированного средства массовой информации, связанное с ней трудовыми или иными договорными отношениями либо занимающееся такой деятельностью по ее уполномочию (статья 2)».

Комментарий компании «ИнфоТехноПроект»:

Первостепенным условием обработки персональных данных субъектов, является наличие согласия субъекта на осуществление этой обработки (часть 1 статьи 6 ФЗ-152). Но существует ряд исключений, когда оператор персональных данных приобретает право такое согласие не получать. Одно из них касается СМИ напрямую.

Статья 6 . Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

…..8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

В связи с применением данной нормы закона стоит обратить внимание на два нюанса. Во-первых, законодатель ограничил сферу применения данного правового основания в отношении журналистов требованием профессиональной деятельности. Это означает, что только лица, занимающиеся журналистикой как профессионалы, имеют возможность воспользоваться предоставленным правовым основанием. Во-вторых, еще одним условием законность применения данной нормы является ненарушение прав и свобод субъекта персональных данных, и вот именно это чаще всего является своеобразным «камнем преткновения» в отношениях журналиста (редакции) и субъекта, чьи данные были опубликованы.

Напрямую СМИ касается и еще одна статья закона «О персональных данных». В ней речь идет об обязанностях оператора при сборе персональных данных.

Статья 18 . Обязанности оператора при сборе персональных данных

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

…4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

Как мы видим, в случае получения персональных данных субъекта не от него самого, оператор персональных данных обязан выполнить определенную процедуру уведомления субъекта об обработке его персональных данных до ее начала. Законодатель также вывел из-под действия этой нормы профессиональную деятельность журналиста, вновь ограничив ее условием ненарушения прав и законных интересов субъекта персональных данных.

Какая же к данному моменту наработана практика проверок СМИ как операторов персональных данных? Для начала несколько примеров.

21 января 2011 года. Оренбургская область. В Управление Роскомнадзора по Оренбургской области поступило обращение жителя Переволоцкого района Оренбургской области с жалобой на публикацию в печатном СМИ «Светлый путь» персональных данных их трагически погибшего сына: фамилии, имени, отчества, даты рождения, адреса проживания и места учебы, без согласия родителей погибшего. В соответствии с частью 7 статьи 9 ФЗ «О персональных данных» в случае смерти субъекта персональных данных согласие на обработку личных сведений о нем дают в письменной форме наследники, если такое согласие не было дано субъектом персональных данных при его жизни. Материалы направлены в прокуратуру Оренбургской области для принятия мер прокурорского реагирования.

22 июля 2011 года. Хабаровский край. Завершены внеплановые выездные проверки Управления Роспотребнадзора по Хабаровскому краю и ЗАО «Телекомпания «Даль-ТВ» по обращению гражданина о распространении персональных данных в новостном блоке на канале ТНТ путём показа в эфире документа, содержащего персональные данные гражданина. В ходе проверок установлено, что Управлением Роспотребнадзора по Хабаровскому краю для дачи интервью (комментария) к репортажу «Мутная история с мутной водой» был выделен специалист, который в ходе записи не обеспечил конфиденциальность персональных данных гражданина, вследствие чего данный документ с персональными данными попал в кадр и был выпущен в эфир. Необеспечение конфиденциальности персональных данных является нарушением требования части 1 статьи 7 Федерального закона от 27.07.2006 № 152 «О персональных данных» .

25 июля 2011 года. Пермский край. Управление Роскомнадзора по Пермскому краю и прокуратура г. Добрянка Пермского края провели совместную проверку по факту публикации в газете «Камские зори» списка граждан, вызываемых на призывную комиссию, а также списка граждан, оповещённых и не прибывших на медицинскую и призывную комиссии. В списках содержались персональные данные призывников. В результате проверки установлено, что действия газеты противоречат требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (часть 1 статьи 6 и часть 1 статьи 7). В связи с этим органом прокуратуры в отношении Муниципального учреждения «Редакция газеты Добрянского муниципального района «Камские зори» возбуждено дело по ст. 13.11 КоАП РФ. Дело передано на рассмотрение мировому судье. Управление Роскомнадзора по Пермскому краю вынесло газете «Камские зори» предупреждение о недопустимости злоупотребления свободой массовой информации .

В двух из трех случаев поводом к проверке послужило обращение гражданина, и такая тенденция наблюдается, если мы посмотрим проверки, которые проводились в СМИ и в 2009, и в 2010 годах. Конечно, вы можете как сотрудник СМИ, журналист утверждать, что опубликованные (названные, показанные) вами персональные данные субъекта ни в коей мере не нарушают законные интересы и права этого гражданина, НО… Именно в этом НО и кроется вся загвоздка, субъект персональных данных может думать совершенно иначе и обратиться с жалобой в суд, Роскомнадзор. И даже если он не докажет факт нарушения этих самых интересов и прав, все равно придется пройти всю неприятную процедуру судебного разбирательства или внеплановую Роскомнадзора.

Конечно, можно на всякий случай запастись согласием субъекта на публикацию его персональных данных, но все мы понимаем, что такое согласие будет получено, если только материал имеет положительную окраску или подготовлен в интересах самого субъекта.