Последние изменения в порядке передачи персональных данных

С 1 сентября 2022 года вступают в силу новые нормы, касающиеся персональных данных.

Теперь операторы, работающие с этой информацией, должны уведомлять Роскомнадзор о том, что произошла утечка данных или их передача за границу.

Показать содержание

• Какие изменения вступили в силу
• Проблемы утечки персональных данных
• Наказание за утечку данных и компенсация гражданам
• Трансграничная передача — что это такое
Законодательное регулирование    

Какие изменения вступили в силу

Роскомнадзор выпустил информационное сообщение о том, что с 1 сентября 2022 года начинает действовать новый порядок уведомлений, касающихся персональных данных. Связано это со вступлением в силу изменений в Федеральный закон «О персональных данных».

Теперь операторы (то есть организации или лица, осуществляющие обработку таких данных) должны уведомлять Роскомнадзор не только о самом факте такой обработки, как было раньше, но и о двух ключевых моментах:

• Об утечке данных. По закону, оператор не имеет права раскрывать обрабатываемые сведения никому, кроме государственных органов – и то исключительно в предусмотренных законом случаях. Однако ошибки или прямые нарушения всегда случаются – и теперь оператор должен сообщать о них, чтобы надзорные органы могли принять меры. Теперь оператор должен в течение 24 часов с момента обнаружения утечки сообщить о ней в Роскомнадзор, а в течение 72 часов –провести внутреннее расследование, определить (хотя бы приблизительно) причину несанкционированного распространения данных и передать в надзорный орган сведения о лицах, которые должны за это нести ответственность.
• О трансграничной передаче – то есть о случаях, когда информация передаётся от оператора к любым лицам, находящимся за пределами Российской Федерации.

Проблемы утечки персональных данных

Утечки – это действительно серьёзная проблема. Как сообщает интернет-журнал «Тинькофф», только за 2021 год было зафиксировано более 300 случаев умышленного слива персональных данных от операторов, когда в сеть попали более 80 млн. записей. По данным исследователей, основными причинами утечек становятся:

• недобросовестность рядовых сотрудников компаний-операторов – 58,3% утечек;
• деятельность хакеров – 32,7%;
• деятельность бывших сотрудников, сохранивших доступ к конфиденциальной информации – 7,4%;
• недобросовестность компаний-подрядчиков, получающих доступ к персональным данным клиентов – 2,1%.

Легко заметить, что практически всегда за утечкой стоит конкретный человек, решивший слить чужую информацию. Утечки по техническим причинам хотя и встречаются, но исчезающее редко.

По состоянию на 2022 год крупнейшими утечками в России были следующие случаи:

👉 Появление в сети базы данных о клиентах «Сбербанка» в августе-сентябре 2019 года. Любой желающий мог купить в Интернете эту базу, содержащую почти 60 млн. записей о клиентах банка. В базе были доступны полные имена держателей карт, их паспортные данные, сведения об операциях и о лимитах карт.

По утверждениям специалистов, продаваемая база являлась копией системы Way 4 – внутренней базы данных «Сбера», использовавшейся на протяжении 10 лет. К этой системе нет доступа извне, так что утечка явно связана с действиями бывшего или действующего сотрудника банка.

👉 Утечка данных с портала по трудоустройству SuperJob в июле 2020 года. В сеть ушли сведения о 5 млн. пользователей, искавших работу через этот портал: полное имя, телефон, электронная почта, адрес. Платёжных данных база не содержала, поэтому утечка использовалась в основном спамерами для рассылки рекламных ссылок и объявлений.

👉 Утечка базы данных сотового оператора «Вымпелком» (бренд «Билайн»), когда в октябре 2019 года в сеть ушла база с 2 млн. записей о его абонентах. Записи содержали сведения о полных именах, адресах и телефонах лиц, заключавших договоры с «Билайном». К счастью, паспортных данных в ней не содержалось.

Если же брать случаи по всему миру, то пока «вне конкуренции» остаётся социальная сеть «MyHeritage», ухитрившаяся «потерять» почти 180 млн. записей. Эта утечка считается одной из самых опасных именно в силу того, что сеть предназначена для поиска родственников и построения родословной, и поэтому содержит очень много информации не только о своих пользователях, но и о других людях.

Наказание за утечку данных и компенсация гражданам

За утечку персональных данных предусмотрена прежде всего административная ответственность. Она назначается по ст. 13.11 КоАП РФ и представляет собой систему штрафов. Их размер для юридических лиц составляет от 50 тысяч до 18 миллионов рублей – в зависимости от того, какое нарушение закона о персональных данных допущено, и какое это правонарушение – первое или повторное.

Что же касается конкретных лиц, сливающих чужую информацию, то их ждёт уже уголовное наказание по ст. 137 УК РФ. Здесь наказание будет уже в диапазоне от штрафа размером до 200 тыс. рублей – до лишения свободы сроком на 2 года. В зависимости от обстоятельств дела возможно также применение и других статей – например, ст. 272 УК РФ, если украденная информация была блокирована, уничтожена или изменена.

Что же касается пострадавших, то они могут рассчитывать:

• на возмещение убытков, реально причинённых им утечкой (ст. 15 ГК РФ);
• на компенсацию морального вреда (ст. 24 ФЗ “О персональных данных”) – например, если после утечки им непрерывно звонили или слали сообщения спамеры.

Однако в обоих случаях получить компенсацию можно только в судебном порядке, предъявив доказательства убытков или морального вреда.

Трансграничная передача — что это такое

Согласно п. 11 ст. 3 ФЗ «О персональных данных», трансграничной называется такая передача данных, которая осуществляется на территорию другого государства, при этом получателем является:

• иностранный орган власти;
• иностранная организация;
• человек, являющийся гражданином другого государства.

Трансграничной передачей не будет, например, предоставление сведений российскому консульству или посольству в другой стране, либо обмен данными между российской организацией и её представительством за рубежом.

Законодательное регулирование

Передача данных за рубеж регламентируется в первую очередь ст. 12 ФЗ «О персональных данных». Она указывает следующее:

• Передача персональных данных на территорию стран, участвующих в Конвенции Совета Европы о защите физических лиц при автоматической обработке сведений, осуществляется по общим правилам – то есть так же, как и внутри России. То же касается и стран, которые в Конвенции не участвуют, но которые Россия признаёт адекватно защищающими информацию.
• При этом Россия оставляет за собой право ограничить или запретить передачу, если это нужно для защиты конституционного строя, прав и интересов граждан, обеспечения обороны и безопасности страны.

На территорию стран, не участвующих в Конвенции и не признанных адекватно защищающими сведения, персональные данные могут направляться в следующих случаях:

• прямое письменное согласие субъекта данных (то есть того лица, которому они принадлежат);
• таковы условия международного договора, ратифицированного Россией;
• если это допускается российским законодательством и требуется ради соблюдения безопасности страны, конституционного строя, защиты интересов личности или государства;
• если исполняется договор, заключённый как раз субъектом данных;
• в исключительных случаях – для защиты жизни, здоровья и других крайне важных интересов самого субъекта или других лиц. В этой ситуации допустима трансграничная передача и без согласия самого субъекта.

При этом оператор, осуществляющий трансграничную передачу, должен уведомить об этом Роскомнадзор.

Само ужесточение требований Роскомнадзор объясняет усилением мер безопасности и повышением уровня защиты личной информации российских граждан.