Персональные данные. Итоги 2020 года

27.01.2021
Прошлый год нам запомнился пандемией, локдауном и самоизоляцией. В этой связи Роскомнадзор с середины марта отменил свои плановые проверки. Но это не значит, что в плане защиты персональных данных не было интересных событий в 2020 году.

Выделим самые важные новости:

1.    Facebook и Twitter были оштрафованы за нарушение требований по локализации обработки персональных данных российских граждан на территории РФ. В итоге Facebook оплатил штраф в размере 4 млн. рублей, хотя годом ранее был оштрафован на 3000 рублей за то же самое нарушение. А после поправок в КоАП в декабре 2019г. штрафы за нарушение требований локализации достигли миллионов рублей.
Пока что новых кейсов штрафов таких размеров не наблюдается. Но в 2021 Роскомнадзор возобновил свои плановые проверки и возможно, появятся новые случаи подобных санкций.

2.    Внесены изменения в Приказе ФСТЭК №21, согласно которому при использовании средств защиты информации нужно ориентироваться не только на класс защиты, а еще и уровень доверия. Данная поправка вступает в силу с 1 января 2021г. Поэтому при проектировании системы защиты персональных данных теперь нужно проверять, обновились ли сертификаты у вендора согласно новым требованиям ФСТЭК.

3.    Внесен на рассмотрение законопроект о новом КоАП, в котором есть и положения, связанные с персональными данными. Так, например, введены санкции за факт утечки персональных данных. Это может в корне поменять подход к построению системы защиты персональных данных.

4.    В Москве была зафиксирована крупнейшая утечка персональных данных больных COVID-19. Данные более 300 000 пациентов оказались в сети. Среди них: ФИО, год рождения, адреса регистраций и мобильные номера пациентов, у некоторых указаны паспортные данные. Официальные лица мэрии заявили, что утечка произошла из-за человеческого фактора, а не системы защиты персональных данных. На фоне этой новости, возможные штрафы за утечку данных выглядят логичным решением.

5.    Были приняты поправки в 152-ФЗ «О персональных данных», ограничивающий обработку персональных данных, полученных из общедоступных источников. Теперь для обработки таких персональных данных нужно получить согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. У нас появится возможность ограничить состав этих персональных данных и также потребовать прекращение их обработки.
Роскомнадзор должен разработать систему, через которую можно будет собирать согласия персональных данных. Это будет альтернативой сбора согласия на обработку персональных данных в письменной форме.

Таким образом, в 2020 году было заложено много инициатив по модернизации нормативного поля, которое будет соответствовать современным вызовам. Кейс с Facebook может стать показательным для многих иностранных компаний, которые до сих пор не приняли меры по локализации обработки персональных. А случаи масштабных утечек увеличивают вероятность принятия поправок в КоАП с санкциями за нарушение конфиденциальности персональных данных. Также важно наблюдать за результатами проверок Роскомнадзора, которые, как всегда, должны пролить свет на позицию регулятора в разных нюансах и спорных вопросах.

Год обещает быть интересным и насыщенным.

Теги: аналитика