$7587.97

Евгений Царёв, RTM Group: «Защита персональных данных – это не проект, а процесс»

It-world

Евгений Царёв, RTM Group: «Защита персональных данных – это не проект, а процесс»
© It-world

Кто должен относить себя к операторам персональных данных? Есть ли здесь какие-то общие правила, или каждый случай индивидуален?

По факту, операторами персональных данных сегодня являются практически все юрлица и ИП по той простой причине, что располагают теми или иными персональными данными в связи с выполнением своей деятельности. Даже при таком обыденном действии, как подписание какого-либо договора, у сторон остаются реквизиты и другие сведения, которые можно отнести к персональным данным.

Также субъектами персональных данных являются сотрудники. Их данные - очень значимая часть, связанная с обработкой ПДн.

Таким образом, самый тонкий момент — разделить, условно, всю обработку ПДн на две части. Первая связана с наличием у компании сотрудников, вторая – контрагентов, клиентов, подрядчиков, участников каких-либо мероприятий и всех, с кем компания, условно говоря, общается, и их персданные нужны, например, для связи, для приема на работу (будущий сотрудник – это еще не сотрудник), для составления и подписания документов и т.д.

Важно, что обработка осуществляется по-разному. Например, если в офисе компании внедряют СКУД или сотруднику берут билеты в командировку, компания должна получить у сотрудников соответствующее согласие на обработку их ПДн. В этих случаях обработка ПДн уже выходит за рамки непосредственных трудовых отношений. Все эти нюансы следует указывать при уведомлении РКН об обработке персданных. За отсутствие такого уведомления о начале обработки ПДн компания получит серьезный штраф. Для ИП и юрлиц он составляет от 100 тыс. до 300 тыс. руб., для самозанятых — от 5 тыс. до 10 тыс. руб.

Государство хочет знать раньше. К чему ведет централизация уведомлений об инцидентах

По факту, подавать уведомления в настоящий момент должны все компании и ИП.

Также хочется обратить внимание на корпоративные сайты. Сначала нужно понять, для чего компания ведет сайт, какова цель? Если для того, чтобы представить компанию в Сети, без размещения на ресурсе контактных данных своих сотрудников - к хранению и обработке персональных данных это не имеет отношения. А вот если сайт сделан для того, чтобы собирать какие-то данные или метрики тех, кто зашел на страницу, отреагировал каким-то образом на размещенный контент, ситуация в корне меняется. В таком случае соответствующие правила обработки ПДн должны размещаться непосредственно на этом ресурсе, и посетители должны с ними согласиться (например, поставив галочку в форме).

И это только небольшая часть того, что должны делать все.

Как представителям бизнес-сообщества определиться в вопросе, кто именно должен подавать уведомление о себе в Роскомнадзор?

Существует понятие ответственного за обработку ПДн, который должен быть в каждой компании. По умолчанию, это первое лицо. Или же назначенный на эту позицию сотрудник.

Какие данные считаются персональными? Есть ли какие-то количественные или качественные показатели в сборе данных, которые могут показать определенно, какие данные еще не являются персональными данными, а какие уже являются?

Закону о персданных в России уже 20 лет, но до сих пор приходится обсуждать и уточнять, что такое персональные данные и какая комбинация сведений относится к таковым. Попробую продемонстрировать это на одном наглядном примере.

Представьте: идет мероприятие, люди сидят в зале на стульях. У каждого стула по 4 ножки, и они с какой-то силой давят на пол. И вот вопрос – является ли сила, с которой давят на пол ножки стула, персональными данными сидящего человека, или нет?

Как ни удивительно, такие сведения могут относиться к персданным. И вот почему. Сила давления ножки стула может относиться к определённому (или определяемому) лицу, а может и не относиться. Вопрос в том, кто такие данные собирает и для какой цели. И если мы собираем такие данные, чтобы идентифицировать, пусть и с определенной вероятностью, сидящего, то эти данные относятся к категории персональных.

Пример второй – подросток включил камеру на телефоне и снимает на видео происходящее на улице. Не какое-то определенное событие, а поток жизни – движение прохожих, автомобилей и т.д. Естественно, в кадр попадают и лица людей, и госномера машин. Но видео с потоком жизни нигде не размещается, никуда не передается, в сеть не попадает, никакой системой распознавания не обрабатывается. Иными словами, цели у записи этого видео нет никакой. В таком случае это видео не относится к персональным данным. Помимо этого, следует учесть, что физлицо (подросток) не является оператором ПДн.

Сделаем вывод: относятся ли какие-либо данные к персональным или нет, зависит от того, для чего именно эти данные собираются. И получается, что первична именно цель обработки.

Как правильно обезличить данные? Имеются ли на этот счет у бизнеса какие-то инструкции или правила, или каждый действует, как умеет?

Роскомнадзор составил документ, в котором описаны механики и методы обезличивания. Но при этом в действительности критериев обезличивания как таковых нет. Иными словами, невозможно понять, в достаточной ли степени данные обезличены. Законодательство описывает обезличивание как процесс. И основная идея – собирать и обрабатывать столько данных, сколько необходимо для каких-то определенных целей.

Например, если компании нужно знать, в какую возрастную группу – младшую, среднюю или старшую – попадает клиент, не обязательно собирать точные даты рождения, достаточно просто указать группу. И для целей обработки данных этого будет достаточно, но не избыточно.

Подобного рода механизмы и относятся к обезличиванию.

А что регулятор подразумевает под термином «обработка данных»?

Под это понятие попадают вообще все действия с данными – их хранение, запись в какую-то базу, просмотр…например, мы сейчас общаемся по ВКС, мы видим изображения, имена, мы смотрим на данные, мы наблюдаем их – и это уже «обработка».

Получается, что понятие «обработка данных» сверхуниверсально, и это порождает массу проблем. Получается, что вообще любые действия с данными, в том числе их удаление и рассмотренное выше обезличивание, тоже попадают в категорию «обработка».

Очень важное изменение, которое вводит новый закон - ужесточение требований к защите персональных данных. Какие меры безопасности определены законом? Что требуется для их выполнения?

Насколько оправданы запреты каких-либо ресурсов типа «Глаз Бога», если моментально появляются их клоны? Реально ли в таком случае защитить ПДн, и насколько эффективна проверка контрагентов с их помощью? Все это огромная тема для дискуссии.

Еще из школьной программы мы помним треугольник взаимодействия между государством, обществом и человеком (гражданином) и принципы, которые позволяют соблюсти интересы этих субъектов и найти между ними баланс, поскольку интересы эти совпадают не всегда.

Например, интересы гражданина. Помните, раньше были телефонные справочники, в которых указывались ФИО, города проживания и телефоны граждан? Мало кого такое положение дел смущало. И даже процедуры исключения себя из этих справочников долгое время не существовало. Как считаете, нахождение в таком справочнике – это было в интересах гражданина или нет?

Теперь, общественный интерес. Хотели бы граждане знать, где именно в городе проживают, например, самые одиозные преступники? С одной стороны, это дало бы возможность как-то себя обезопасить, сменить место жительства, например, или не гулять в том районе. А с другой – это нарушало гражданские интересы этих самых преступников.

Риски CEO, CIO, CISO за нарушения в сфере КИИ и защиты данных

Вершина третья – государственный интерес. И в последние годы именно он превалирует. Государство определяет, что хорошо, а что плохо, и с плохим начинает борьбу. Например, массовый сбор данных о гражданах государству категорически невыгоден, это создает проблемы с безопасностью. И мы движемся в сторону монополии государства и больших корпораций на обработку ПДн.

Таким образом, правильного ответа на ваш вопрос нет. Но есть реальность, в которой мы живем, и интересы государства сейчас в приоритете.

Новых требований не так-то много. Они есть, но в общей доле уже существующих их буквально единицы процентов. По сути, все основные требования закона и подзаконных актов существуют и работают уже 15 лет. В свое время государству нужно было принять закон о защите персональных данных. Это произошло ещё в эпоху, когда Россия стремилась вступить в ВТО, и такой закон, по сути, был одним из требований для членства в организации. Нужно было выбрать регулирующий орган, и функциями регулятора наделили Роскомнадзор. Но к такому повороту никто не был готов, у выбранного регулятора компетенций в сфере защиты ПДн было мало – служба занималась, в основном, лицензированием в области связи.

Подразделение киберразведки (Threat Intelligence) компании F6 в своем отчете обнародовало данные о том, что в 2025 году в открытый доступ попало более 767 млн записей с персональными данными россиян. И по сравнению с 2024 годом масштабы утечки стали больше на 67,6%, несмотря на общее снижение числа инцидентов (250 случаев против 455 в 2024 году). Значительная часть данных была размещена в Сети бесплатно, с целью нанесения ущерба компаниям и их клиентам.

Затем нужно было соблюсти интересы ФСБ, которая занимается регулированием криптографии.

Что касается вопросов технической защиты, традиционно ими занималась Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Так и получились, что регулирование ведут сразу три органа власти - Роскомнадзор, ФСТЭК и ФСБ. Роскомнадзор должен был заниматься защитой прав субъектов, и занимался этим долгие годы. ФСТЭК выставляла технические требования, ФСБ вела свою работу в части шифрования. По факту, так получилось, что у операторов ПДн есть три регулятора, и каждый выставляет свои требования. Кроме того, были приняты поправки в КоАП, в УК РФ, появились штрафы и другие меры наказания. В итоге, правоприменительная практика стала формироваться немного специфично.

На техническую защиту долгое время не обращали практически никакого внимания. У ФСТЭК полномочия в этом смысле ограничены, требования служба выставляла, а как их контролировать, было не очень понятно. Поэтому технические требования изменялись при изменении закона в минимальной степени, а реальной технической защитой занимались только отдельные категории организаций.

Ровно такая же история произошла позже и с КИИ. Сегодня рынок КИИ сильнее всего «бустит» именно уголовная ответственность. И практически то же самое происходит сейчас в области персданных. Статьи 272.1 (ответственность за незаконные использование, передачу, сбор, хранение компьютерной информации, содержащей ПДн) и 274.1 УК РФ (ответственность за неправомерное воздействие на КИИ) написаны, как под копирку. Опасность уголовной ответственности вынуждает выполнять требования регуляторов.

Затем начался период импортозамещения, и за 10-15 лет у нас появились отдельные решения, позволяющие «закрывать» техническую защиту более качественно, но все-таки не полностью.

С этой стороной проблемы система не справляется. Наказывать рублём за отсутствие технических средств защиты тяжело, а, зачастую, и бесполезно. Другое дело, когда ответственному лицу за нарушения в обработке реально ПДн грозит статья УК РФ, он должен доказать, что с точки зрения технических требований все сделано.

Финансовый сектор, если можно так выразиться – лидер в сборе персональных данных. Тысячи и миллионы розничных клиентов, запросов на кредиты, миллиарды транзакционных данных… Каким образом ужесточение требований к защите персональных данных отразится именно на банковском сегменте?

Финансовый сектор вообще, и банковский в частности – самые зарегулированные отрасли в стране. Ряд объектов подконтрольных ЦБ организаций отнесена к критической информационной инфраструктуре. Каждые два года ЦБ РФ в обязательном порядке проводит аудит банков, в ходе которого проверяется все – и соответствие регуляторным требованиям, и требованиям самого Банка России, про обработку и защиту ПДн тоже не забывают. И, в результате, финансовый сектор, пожалуй, самый подготовленный в части соответствия требованиям по защите информации, частным случаем которой являются персданные.

Как владельцу ПДн доказать, что правила игры были нарушены, и его данные оказались в слитых базах данных из-за ошибок в обработке и хранении? Как с этими ситуациями справляется рынок?

Это и есть самый главный вопрос, потому что у подобных событий есть последствия. Самое опасное, это применение уголовных статей. Существует растущая практика применения 274.1 УК (по КИИ) и реальные приговоры за бездействие. Практики применения 272.1 УК (по ПДн) пока нет, но обе статьи очень похожи по духу и, скорее всего, правоприменение будет схожим. Это опасно, потому что операторов персональных данных статистически больше чем субъектов КИИ, и инцидентов с персональными данными тоже больше.

«Точкой запуска» процедуры привлечения к ответственности является значимый инцидент. В части персональных данных законом предусмотрена процедура, кому и как именно нужно реагировать на этот инцидент. Сначала необходимо уведомить регулятора о факте инцидента в виде утечки (в течение 24 часов), затем анализировать причины, снижать тяжесть последствий, улучшать систему защиты, восстанавливать утраченное, и через 72 часа, сообщить о результатах расследования.

Однако сам факт уведомления регулятора об инциденте пугает организации. И это приводит к другой проблеме: большинство утечек регулятор никогда не увидит. Приведу простой пример. До сих пор в рынке нет единого понимания, что же означает термин «утечка». На каждом профильном мероприятии идут споры. Допустим, если за утечку принимать инцидент, когда персональные данные стали известны тому, кто не должен был о них узнать, то такие инциденты в компаниях каждый год исчисляются сотнями. Кто-то переслал кому-то табличку с данными клиентов, кто-то собирал адреса и ФИО для отправки подарков клиентам или партнерам на Новый год, и т.п.

Фактически, это утечки, и таких случаев очень много. Относить ли их к инцидентам, про которые нужно уведомлять регулятора? Реагировать на нее или нет? Теперь представьте, что в вашей компании работает 1 тыс. человек, и вы ежедневно информируете регулятора об инцидентах утечки ПДн. Понятно, что к такой компании сразу появится очень много вопросов. Не исключено, что по закону она поступает правильно, но с реальностью это связано очень слабо.

В этой ситуации, если вы – субъект ПДн, данные которого утекли, то необходимо сообщить об утечке в РКН, они проведут проверку и, вероятнее всего, накажут виновных (если, конечно, найдут). С учетом сложности фиксации утечек установить их источники – задача порой неподъемная, но попытаться стоит. И еще один важный момент – в РФ приоритет на наказание (виновных в утечке операторов), а не на компенсации пострадавшим. Поэтому, в случае успеха будет просто плохо еще и тем, кто виноват в утечке, а денег тот, чьи данные утекли, скорее всего, не получит.

Как определяется, кто именно виноват в утечке, если вдруг персональные данные обнаружились где-то в Сети или в открытых источниках?

Если вдруг персональные данные обнаружились где-то в сети, определить виновного, при желании, реально. Для этого проводится криминалистическое исследование, которое должно найти атрибуты или цифровые доказательства, которые позволят установить источник утечки. В этой теме есть масса нюансов. Один из нюансов - что будет использоваться в качестве объекта исследования? Если какая-то много раз переписанная таблица с персданными, с почищенными заголовками и проч., тут и специалисты мало что смогут сделать. А если к ней прилагается какой-то контекст, то определить, откуда произошла утечка, более реально.

Иногда организация, например, может не знать, что именно она допустила утечку данных. И ей нужно однозначное подтверждение либо однозначное опровержение этого факта. Иногда категоричного ответа часто дать невозможно – экспертный ответ будет вероятностным. В этой ситуации принимать решение о виновности будет регулятор (и, возможно, следствие и суд) исходя из совокупности доказательств. И не последнюю роль тут будет играть озвученная выше степень соответствия оператора требованиям по защите информации.

Если оператора персданных, допустившего утечку, может определить РКН, то личность конкретного виновного определяют уже уполномоченные органы в ходе оперативных мероприятий или суд.

Кто должен инициировать обращение в Роскомнадзор по поводу утечки?

По-хорошему, должна это делать та организация, у которой эта утечка произошла. По закону, компания обязана уведомить об этом регулятора. Ответственность за неуведомление есть. Но практики применения этой ответственности мне неизвестны. А в дальнейшем Роскомнадзор должен образом отреагировать на эту историю.

Сейчас сложилась несколько парадоксальная ситуация, когда «наказать рублем» за факт утечки какой-то большой базы данных намного сложнее, чем, прямо скажем, присудить ограничение свободы ответственному за информационную безопасность.

Допустим, в компании какой-либо сотрудник скачал базу клиентов и опубликовал ее в сети. Даже уволить такого человека по ТК РФ – большая проблема. Привлечь к материальной ответственности – почти нереально. А вот привлечь его к уголовной ответственности становится все более реально.

Судебная практика по делам, связанным с утечкой ПДн, пока не сформирована. Но уже имеются косвенные признаки, позволяющие прогнозировать, что, скорее всего, она будет развиваться по аналогии с КИИ. Уже введена, например, уголовная ответственность за бездействие лица, ответственного за обеспечение безопасности КИИ – он должен доказать, что применял все необходимые меры.

С какими запросами, в основном, в вашу компанию сейчас обращаются клиенты? Связаны они с ПДн?

Проекты, связанные с персданными, существуют очень долго. В какой-то момент 9 из 10 проектов свелись к подготовке организационно-распределительной документации. Однако в последние полтора года у темы защиты персональных данных началась новая жизнь. Появился целый пласт организаций, которые не хотят иметь никаких проблем с защитой и обработкой ПДн, и приходят к нам с однозначным запросом - «сделайте так, чтобы риски для нас были минимальны».

Соответственно, этот запрос можно разделить на два больших блока. Первый – бумажный. Мы помогаем компании все корректно оформить, подготовить специалиста или найти нужного на рынке. И второй блок — техническая защита. Когда мы заканчиваем работу, наш заказчик получает готовый инструмент снижения риска как самого инцидента, так и последствий. Нужно понимать, что обработка ПДн - это не проект, это процесс, который нужно постоянно поддерживать.