17.12.2020
В ближайшее время Госдума РФ рассмотрит Законопроект № 1070431-7 «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности».Данный законопроект в первую очередь направлен на защиту информации о конкретной группе людей, и на первый взгляд не несет дополнительных требований к «простым» операторам персональных данных.
На самом деле, при ближайшем рассмотрении, в законопроект заложены правки в 152-ФЗ «О персональных данных», которые могут потребовать от всех операторов серьезных действий, сопряженных с большими трудозатратами.
А как в очередной раз подтвердил Роскомнадзор в рамках своей ежегодной конференции, оператором персональных данных компания может являться даже если не подает регулятору уведомление о начале обработки персональных данных.
Если предложенные изменения будут приняты, Часть 2 Статьи 19 Закона «О персональных данных» будет выглядеть следующим образом:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации.
Исходя из приведенных формулировок все без исключения операторы персональных данных будут обязаны выполнять указанные меры и осуществлять взаимодействие с ГосСОПКА, вне зависимости от наличия обработки информации о защищаемых лицах.
Сейчас ГосСОПКА упоминается только в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Нормативная документация по данному законодательству регламентирует деятельность субъектов КИИ, а не всех операторов персональных данных.
Пока новые нормативно-правовые акты по разъяснению планируемых требований отсутствуют, поэтому не совсем понятно, каким образом компании, операторы персональных данных, должны будут их выполнять
Теги: изменения