Персональные данные. Дайджест за 16–31 октября 2023 г.

Законопроекты, законотворчество

Опубликован проект постановления Правительства РФ, согласно которому заселиться в гостиницу возможно будет по биометрии

В проекте постановления Правительства РФ «О внесении изменений в Правила предоставления гостиничных услуг» предлагается дополнительный способ установления личности физического лица при заселении в гостиницу наряду с физическим предъявлением документа, удостоверяющего личность.

В частности, посредством проведения идентификации или аутентификации с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» в соответствии
‎с положениями Федерального закона от 29 декабря 2022 г. № 572-ФЗ
‎«Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации
‎и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

В целях осуществления заселения с использованием единой биометрической системы гостиница:

• «обеспечивает идентификацию или аутентификацию физических лиц с использованием их биометрических персональных данных;

• получает из единой системы идентификации и аутентификации имеющиеся в ней сведения о физическом лице, необходимые
  ‎для его постановки на учет по месту пребывания в случае получения единой системой идентификации и аутентификации из единой биометрической системы информации
  ‎о соответствии предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, а также о степени взаимного соответствия указанных биометрических персональных данных и векторов единой биометрической системы, достаточной для проведения идентификации или аутентификации физического лица».

26.10.2023. Федеральный портал проектов нормативных правовых актов

Судебная практика и административные дела

Управление Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО опубликовало итоги контрольных мероприятий в сфере персональных данных

Управление Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО в сентябре 2023 года провело 5 мероприятий по контролю. Данные мероприятия проведены без взаимодействия с контролируемыми лицами.

Проведена оценка соответствия деятельности требованиям законодательства Российской Федерации о персональных данных 20 сайтов в отношении следующих категорий операторов: предприятия общественного питания; медицинские организации; организации, оказывающие услуги парикмахерских и салонов красоты; фитнес-центры; операторы связи.

У всех операторов были выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе:

• отсутствие возможности посетителями сайтов дать согласие на обработку персональных данных при заполнении форм обратной связи, предполагающих внесение персональных данных;

• отсутствие под формами сбора персональных данных документа, определяющего политику оператора в отношении обработки персональных данных;

• отсутствие согласий субъектов персональных данных для распространения их персональных данных на сайтах операторов;

• использование captcha (Google) под формами обратной связи, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта;

• несоблюдение требований по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (в случае использования captcha (Google) под формами связи);

• записи о нескольких операторах отсутствуют в Реестре операторов, осуществляющих обработку персональных данных, либо данные, содержащиеся в Реестре, не соответствуют фактической деятельности организаций, собирающих данные с помощью сайтов.

По результатам проведенных мероприятий в адрес всех операторов направлено 20 требований об устранении нарушений в области обработки персональных данных.

Новости и события

Данные почти 1 млн клиентов МТС-банка утекли в сеть

Роскомнадзор провел проверку после появления сообщений о возможной утечке персональных данных почти 1 млн клиентов МТС-банка, и расследование подтвердило ее.

Роскомнадзор «составил административный протокол о нарушении законодательства о защите персональных данных, он будет передан в суд», сообщил изданию представитель службы.

В начале сентября телеграм-канал «Утечки информации» сообщил, что в Сеть попала база с данными клиентов МТС-банка, в том числе с частичной информацией о картах. В файле с данными карт (шесть первых и последних цифр номеров, дата выпуска и истечения, тип карты) было более 3 млн строк.

Еще два файла содержали персональные данные пользователей (1 млн строк), а также 1,8 млн номеров телефонов и 50 тыс. адресов электронной почты и числовые идентификаторы. В базе были данные о фамилии, имени, отчестве, а также дате рождения, поле, гражданстве и ИНН клиентов МТС-банка, писал канал.

Представитель МТС-банка тогда заявил, что инфраструктура кредитной организации не подвергалась атаке. Он подчеркнул, что в утекшей базе были данные карт разных банков. Это указывает, что утечка произошла у ретейлера или поставщика цифровых сервисов, отмечал представитель банка.

19.10.2023. РБК

За утечку персональных данных с государственных информационных ресурсов может быть введена дополнительная ответственность должностных лиц

Существующие составы преступлений, считает заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин, не полностью описывают ситуации, которые могут произойти, если речь идет об утечке данных из государственных структур. А если речь идет, например, об электронной медкарте или цифровом дневнике ребенка, такие данные могут быть куда более чувствительными, чем сведения из сервисов доставки еды. Поэтому парламентарии готовят изменения в Кодекс об административных правонарушениях РФ, вводящие штрафы за действия или бездействие государственной организации, обрабатывающей персональные данные. Штраф за утечку больше ста тысяч строк данных может составить от одного до двух миллионов рублей, рассказал Артем Шейкин.

«Если сотрудник госорганизации, воспользовавшись своим служебным положением, крадет персональные данные и продает их, то тут речь может идти об уголовно наказуемом преступлении», — сообщил сенатор.

Незаконное использование в корыстных целях компьютерной информации, содержащей персональные данные, хотят наказывать штрафом до миллиона рублей с лишением права занимать определенные должности либо лишением свободы на срок до шести лет. Если преступление повлекло тяжкие последствия либо было совершено организованной группой, тюремный срок может составить до десяти лет.

Еще выше — до 20 миллионов рублей - может составить штраф за утечку биометрических данных, поскольку они являются наиболее чувствительными, а право их хранить теперь имеет только государство, заключил Артем Шейкин.

Законодательные изменения пока находятся в стадии проработки, когда их внесут в парламент — точно не известно, но и откладывать в долгий ящик решение этого вопроса не следует, считает сенатор Шейкин.

Еще один законопроект депутатов касается компенсаций людям, чьи персональные данные попали в открытый доступ. О подготовке такой инициативы сообщил член IT-комитета Госдумы Антон Немкин. По его словам, если компания урегулирует конфликт с не менее чем 80 процентами пострадавших, то может рассчитывать на снижение штрафа от государства.

В случае с государственными организациями компенсации тоже возможны — их могут выплачивать либо из бюджета, либо из средств непосредственного виновника утечки, рассказал Шейкин. Эту инициативу планируют дополнительно обсудить с экспертами.

20.10.2023. Парламентская газета

Суды в 2023 году за утечки персональных данных назначили штрафы на 3,7 млн рублей

Роскомнадзор с начала года составил 122 протокола по административным делам об утечках персональных данных. Судами по итогам их рассмотрения уже назначены штрафы на сумму около 3,7 млн рублей. Об этом сообщил начальник управления РКН по защите прав субъектов персональных данных Юрий Контемиров.

По его словам, в 2023 году было проведено 39 внеплановых проверок, и из них в 37 случаях факты утечек подтвердились.

«Операторы, в деятельности которых были выявлены факты несоблюдения требований законодательства, которые привлекли за собой утечку персональных данных были привлечены к административной ответственности», — сказал Контемиров на круглом столе «Защита прав потребителей в условиях моратория на проведение проверок субъектов малого и среднего предпринимательства» в Совете Федерации.

Вместе с тем он отметил, что «сознательность со стороны бизнеса растет» с момента внесения изменений в закон о персональных данных, которые обязывают операторов информировать регулятор о факте утечки, ее причинах и о принятых мерах.

За 2023 год Роскомнадзор проверил порядка 5,8 тыс. сайтов, из них почти у 4 тыс. были выявлены отклонения от обязательных требований закона. «Здесь мы тоже отмечаем положительную тенденцию по устранению нарушений: если нарушения были выявлены в 4 тыс. случаев, то протоколов по этим эпизодам было составлено (всего) 15. То есть в этой части мы видим положительную картину», — отметил Контемиров.

В марте замглавы Роскомнадзора Милош Вагнер сообщал, что сумма штрафов за 2022 году составила более 50 млн рублей.

В настоящее время максимальный размер штрафа для юридических лиц, за утечку персональных данных составляет до 100 тыс. рублей, а при повторном совершении административного правонарушения – до 300 тысяч рублей. В настоящее время в Государственной Думе РФ находится законопроект о введении оборотных штрафов до 3% за повторные утечки персональных данных. Правительство уже дало на него положительный отзыв с учетом необходимости доработки.

23.10.2023. Интерфакс

Российские банки выразили несогласие с законопроектом, который наделяет правоохранительные органы правом получать прямой доступ к банковским информационным системам и базам данных клиентов

Это следует из письма Ассоциации банков России, отправленного в Минцифры и председателю Комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну.

Сейчас законопроектЗаконопроект № 416441-8 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части обработки персональных данных отдельных категорий лиц)»
, внесенный в Государственную Думу РФ Правительством РФ 3 августа, находится на стадии рассмотрения. Предлагаемые нормы наделяют Минобороны, ФСО, ФСБ, МВД правом на доступ, в том числе удаленный, к информационным банковским системам и базам данных для редактирования или удаления сведений о сотрудниках спецслужб, которые являются клиентами банков.

Инициатива предполагает создание реестра информационных систем, в которых обрабатываются данные сотрудников спецслужб.

Согласно законопроекту, операторы систем должны будут выявлять в своих базах сведения о работниках спецслужб и передавать о них информацию в соответствующие органы.

Законопроект обязывает операторов предоставлять спецслужбам доступ к данным. В противном случае им могут запретить пользоваться системой. Это относится в том числе и к базам данных банков.

По мнению участников Ассоциации банков России, законопроект порождает многочисленные правовые коллизии. Инициатива противоречит положениям законодательства, устанавливающим защиту охраняемой законом тайны, регулирующим противодействие отмыванию доходов, полученных преступным путем, и финансированию терроризма, отмечено в письме.

Принятие законопроекта может привести к нарушению конституционных прав граждан России из-за предоставления спецслужбам неограниченного доступа к персональным данным людей, которые не относятся к специальной категории сотрудников спецслужб и не давали согласия на доступ к их охраняемым персональным данным, считают авторы письма.

Неограниченный и неконтролируемый доступ спецслужб может привести и к рискам для информационной безопасности, так как нарушится функционирование баз данных, а информация может быть передана третьим лицам, указывают банки еще на одну проблему.

Участники Ассоциации банков России предложили переработать законопроект. В качестве альтернативы банки предлагают построить взаимодействие со спецслужбами через Федеральную налоговую службу или Центральный банк России.

Уже сейчас кредитные организации передают в Федеральную налоговую службу данные об открытии счетов. Эту информацию можно дополнить сведениями о сотрудниках силовых ведомств и создать каналы взаимодействия между налоговой службой и спецслужбами для мониторинга данных их сотрудников, предложили банкиры в своем документе.

При рассмотрении внесенного Правительством РФ законопроекта ИТ-Комитет Государственной Думы РФ обсудит замечания банков, хотя далеко не со всеми претензиями можно согласиться, написал в своей социальной сети Александр Хинштейн. «В частности, вопреки заявлению Ассоциации банков России, в законопроекте не идет речи о доступе силовиков к персональным данным россиян. Он касается исключительно самих сотрудников спецслужб и силовых ведомств, сведения о которых можно будет корректировать или закрывать; причем не во всех информсистемах и базах данных, а лишь в тех, которые внесут в специальный реестр. И не абы как, а в соответствии со специальным порядком, который предстоит утвердить Правительству», — отметил депутат.

Он подчеркнул, что это делается для защиты безопасности сотрудников и их зашифровки, а не для контроля или сбора данных. По мнению парламентария, ни о каком нарушении «конституционных прав граждан» говорить не приходится, к реальности этот тезис отношения не имеет. Как и попытка окрестить сам законопроект: «О доступе спецслужб к данным клиентов», написал Хинштейн. Он напомнил, что любой человек, надевающий погоны, заранее принимает ряд ограничений и запретов, в том числе на распространение информации о себе. «В текущих условиях, на фоне проведения СВО и участившихся утечек, это более чем актуально!» — заключил депутат.

Председатель Комитета Государственной Думы РФ по финансовому рынку Анатолий Аксаков считает, что в таких вопросах, как персональные данные, очень важно, чтобы канал доступа к информации был защищен: «Даже если речь идет о таких структурах, как Минобороны или МВД, с данными работают люди».

По мнению депутата, если даже доступ к такой информации необходим, такая работа должна вестись через Центральный банк. «Это профессиональный орган, накопивший огромный опыт взаимодействия с кредитными организациями, в том числе о том, как получать, анализировать, дозировать информацию, защищать ее от неблаговидных шагов», — сказал Аксаков.

Парламентарий считает, что только профессионализм Центробанка позволит здесь обойтись без негативных последствий. «Ведь если строить работу через множество правоохранительных структур, это может создать ситуации несистемности, а значит, и неблаговидных последствий. Пожелав защитить данные тех, кто занимается спецзаданиями, в итоге могут получиться дополнительные каналы утечки данных», — отметил депутат.

23.10.2023. Парламентская газета

Представители Роскомнадзора задумались о пересмотре уведомительного подхода для обработки персональных данных

Глава Роскомнадзора Андрей Липов на закрытой встрече с журналистами в рамках специализированного форума «Спектр», проходящего в Сочи, рассказал о защите персональных данных россиян от утечек.

«Технологии очень быстро развиваются, количество сервисов растет, большинство из них переходит в онлайн. Насколько гражданин теперь осознанно дает бесчисленные согласия, запоминает, кому и на что их дал, способен проверить взятые обработчиком обязательства? Да и так ли уж обоснована тем же бизнесом обработка всего перечня персональных данных, которые он требует у пользователей. Возможно, стоит по-другому взглянуть на существующий уведомительный характер обработки персональных данных, предусмотренный действующим законом. И в первую очередь для обработчиков существенных объемов персональных данных можно было бы обсудить необходимость предварительной проверки адекватности защиты ими своих систем учета».

По словам Липова, у государства должны быть крупные доверенные партнеры в информационном пространстве, которые способны обеспечить защиту больших объемов персональных данных.

25.10.2023. Российская газета

На Госуслугах появилась опция регистрации биометрии без загранпаспорта

Дистанционная регистрация биометрии в упрощенном формате — без использования загранпаспорта нового поколения — стала доступна пользователям мобильного приложения «Госуслуги Биометрия». Об этом сообщила пресс-служба оператора Единой биометрической системы Центра биометрических технологий.

Для регистрации необходима подтвержденная учетная запись на портале госуслуг и смартфон, чтобы сделать фото и записать голос. Пользователю следует выбрать в приложении вариант «регистрация биометрии без загранпаспорта», сфотографироваться, произнести представленные на экране последовательности цифр. При этом запись голоса потребуется только для желающих получить в будущем доступ к сервисам с голосовой идентификацией.

Зарегистрировавшимся россиянам будет до конца года доступен ряд услуг, в том числе онлайн и офлайн-покупки на сумму до 2,5 тысяч рублей или оплата проезда в общественном транспорте.

25.10.2023. Рамблер

Закон об обезличивании персональных данных могут принять до конца года

Закон об обезличивании персональных данных может быть принят в России до конца текущего года, заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов в ходе выступления на Всероссийском форуме региональной информатизации «ПРОФ-IT» в Новосибирске.

«Надеемся, что будет принят до Нового года федеральный закон, проект, который давно находится в Государственной думе, касающийся обезличивания персональных данных», — сказал он.

Президент РФ Владимир Путин в начале сентября заявил, что считает необходимым в ближайшее время принять изменения в закон о персональных данных, которые нужны для обеспечения защиты прав и интересов граждан при обработке больших данных и применении искусственного интеллекта.

Проект закона о внесении изменений в закон «О персональных данных» был внесен в Государственную Думу РФ в 2020 году.

26.10.2023. ТАСС

Роскомнадзор предлагает создать институт спецоператоров для обработки персональных данных

Роскомнадзор разработал «Концепцию повышения безопасности обработки персональных данных в России», в которой предлагается создать институт спецоператоров персональных данных.

Под спецоператором, согласно концепции, понимается юридическое лицо, за плату обрабатывающее все или часть персональных данных небольших компаний, не имеющих компетенций или ресурсов для выполнения всех требований к защите личной информации. Для этого компания, получающая статус спецоператора, должна получить аккредитацию в Роскомнадзоре, иметь лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) на работу с криптографическими средствами защиты информации, иметь необходимую информационную инфраструктуру и технологии.

Спецоператор будет иметь право получать согласие у гражданина на обработку персональных данных, при этом нести правовую и материальную ответственность за обработку и защиту этой информации в полном объеме, следует из документа.

Также концепция предполагает создание национальных стандартов обработки персональных данных, в том числе их обезличивание с учетом особенностей процесса обработки. Перечень типовых процессов обработки персональных данных должно утвердить правительство.

В Ассоциации больших данных (АБД, объединяет Сбербанк, МТС, ВТБ, «Мегафон», «Яндекс», VK и др.) отметили, что на текущий момент тяжело оценить риски предлагаемого регулирования из-за недостатка информации, представленной регулятором. «В первую очередь требуют пояснения вопросы о порядке взаимодействия между спецоператором и бизнесом, определения стоимости соответствующих услуг и распределения ответственности», — отметили в АБД. Там также напомнили, что подготовили предложения по установлению экспериментального правового режима, в рамках которого предлагается исследовать подходы к созданию и функционированию доверенных посредников в сфере данных: организационной и технической инфраструктуры для безопасной обработки данных для технологий искусственного интеллекта. «Указанные подходы могут быть взяты за основу при создании будущего регулирования», — уверены в АБД.

В Ozon не поддерживают идею создания спецоператоров. «Она недостаточно проработана и не учитывает реальные бизнес-процессы», — пояснили в компании.

Юристы считают инициативу Роскомнадзора спорной. «Наиболее серьезные утечки допускают не малый и средний бизнес, а, наоборот, крупнейшие компании. Централизация хранения персональных данных негативно влияет на информационную безопасность, хотя и снижает нагрузку на бизнес, который может делегировать защиту персональной информации третьему лицу», — пояснили эксперты.

В Минцифры сообщили, что в министерство подобная инициатива не поступала. В самом Роскомнадзоре, как и в комитете Госдумы по информполитике, отказались от комментариев.

27.10.2023. Forbes

Для входа на портал Госуслуг теперь требуется дополнительное подтверждение личности

Такие правила начали действовать для всех пользователей с 28 октября.

Суть двухфакторной аутентификации заключается в том, что, помимо пароля, система требует дополнительное подтверждение. Это нужно для повышения безопасности и защиты персональных данных россиян, объяснили в Минцифры.

Те, кто не установил второй фактор защиты до 28 октября, при входе в аккаунт увидят баннер с его вариантами. Отказаться от выбора не получится, иначе доступ к порталу Госуслуг станет недоступен. Однако впоследствии можно изменить свои настройки в разделе «Безопасность».

Самый простой путь — выбрать для подтверждения личности код из СМС. Перед этим стоит проверить, какой номер телефона прикреплен к личному кабинету на портале. Если он недоступен или устарел, его можно обновить через приложение банка-партнера или в ближайшем МФЦ. Перечень подходящих банков размещен на портале Госуслуг.

Второй вариант входа в аккаунт — использовать одноразовые коды из специальных приложений для двухэтапной аутентификации, которые представляют собой алгоритм создания обновляемых паролей. Варианты этих приложений для разных операционных систем — Android, iOS или Harmony OS — размещены на портале Госуслуг. После выбора такого механизма подтверждения личности нужно будет отсканировать с помощью приложения предложенный порталом Госуслуг QR-код или ввести секретный ключ — длинную комбинацию из цифр и английских букв. Потом в этом приложении появится отдельная запись: gosuslugi — и для входа можно будет применять коды из нее, которые будут регулярно обновляться.

Еще один популярный способ подтверждения личности — вход по биометрии. К таким данным относятся различные физические характеристики человека, которые никак нельзя подменить. Например, отпечатки пальцев или сетчатка глаза. В случае с порталом Госуслуг используется лицо пользователя, которое распознается за несколько секунд. Такую биометрию нужно зарегистрировать заранее через приложение «Госуслуги Биометрия» или в банке.

Среди очевидных плюсов этого варианта — даже если телефон человека с доступом и к СМС, и к приложениям попал в чужие руки, никто не сможет проникнуть в аккаунт, так как осуществить это с помощью фотографии не получится.

28.10.2023. Парламентская газета