Что немцу хорошо, то русскому смерть. Изменения в 152-ФЗ.

    Выложен очередной законопроект по изменению многострадального 152-ФЗ.  Разработан Минкомсвязью. 
    Из пояснительной записки следует, что «Законопроект направлен на создание благоприятных условий и новых возможностей для использования и обращения информации (данных) в интересах потребителей, бизнеса, общества и государства в целом. При этом ключевым условием их реализации является обеспечение достаточных правовых и иных механизмов защиты прав и свобод субъектов персональных данных, активно участвующих в экономических отношениях, в которых могут применяться персональные данные.» 
    После прочтения текста законопроекта испытываешь чувство полной безысходности и ужаса.
Ну как так можно писать законы? Не получится перенести "калькой" законодательство Евросоюза на российское законодательство.

День открытых дверей в РКН - 2019.

   Прошел традиционный День открытых дверей для операторов персональных данных в Роскомнадзоре.
Организация мероприятия несколько изменилась, но в лучшую сторону. Проведено в два дня (30 и 31 июля 2019), проход  по спискам и отдельная секция ответов на заранее заданные вопросы. Но вот содержательная часть огорчила.

Январская встреча Russian Privacy Professionals association

(иллюстрация с презентации А. Мунтяна "Юридическая квалификация сведений в качестве персональных данных")

     Первым публичным мероприятием в 2019 году для меня стала рабочая встреча RPPA, организованная KPMG. Для январской встречи была выбрана тема защиты персональных данных в РФ и Евросоюзе. Формат общения без представителей вендоров и регуляторов позволяет в дружеской обстановке обсудить  насущные проблемы по выполнению требований законодательства и реальный опыт их преодоления. Организация встречи на высоком уровне, спасибо Кристине Боровиковой.

Закрытие сезона публичных выступлений -2018

       Выступлением с докладом "Как соответствовать и чему?" на секции "Управление информационной безопасностью" на XV Международной выставке ITSEC – Информационная безопасность России / InfoSecurity Russia 2018 закрыл сезон публичных выступлений в 2018 году. На декабрь запланированы выступления только на закрытых мероприятиях.

Перспективы Fan ID

     Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации сообщает, что для посещения матчей Чемпионата мира по футболу FIFA 2018 года (ЧМ-2018) всего было заказано 1,83 млн паспортов болельщика (FAN ID).
Самыми активными пользователями паспортов болельщика стали граждане России, которые заказали 987 тысяч FAN ID. На втором месте — граждане Китая (68 тысяч паспортов), на третьем месте — США (52 тысячи паспортов). Также большой популярностью FAN ID пользовался у болельщиков таких стран, как Мексика (44 тысячи), Аргентина (37 тысяч), Бразилия (35 тысяч), Великобритания (31 тысяча), Колумбия (31 тысяча), Германия (30 тысяч), Перу (27 тысяч).

Как GDPR покарает российские организации? Отвечает Минкомсвязь.

        К вступлению в силу в сентябре 2015 года 242-ФЗ были выпущены разъяснения Минкомсвязи об распространении требований российского законодательства в области защиты персональных данных на иностранные организации, не имеющих физического присутствия на территории страны. Произошло это за год до публикации GDPR. РКН очень прогрессивный регулятор.

Полезное и интересное с "CISO FORUM 2020: взгляд в будущее"

     Принял участие в конференции "CISO FORUM 2020: взгляд в будущее". Конференция длилась 2 дня, которые для меня распределились следующим образом:

Впечатления от Kaspersky security day - 2018

      На данном мероприятии интересовали 2 секции: КИИ и GDPR.
      К сожалению, секция про КИИ оказалось совершенно не интересной. Все ограничилось общими словами об актуальности 187-ФЗ и прочими банальными фразами. Зато публично прозвучало, что защищать КИИ нечем и некому.Отечественные производители СЗИ не готовы представить на рынок  комплексные решения по защите КИИ, а специалистов по защите информации с должной квалификацией просто единицы на всю страну. Это не новость, но хотя бы звучит вслух на таких высокоуровневых площадках в открытую.
      На секцию GDPR шел с опаской, но все оказалось очень интересным и по делу. Удалось задать вопросы публично и в кулуарах. Проектор очень специфично демонстрировал презентацию, даже глазам было больно. Так что, качество фотографий не очень.
      Фото в исходном виде - https://drive.google.com/open?id=17aTjAk2fvReR3AJVQYF9FJLH8BqG_ZYb
 Презентация в PDF: https://drive.google.com/open?id=18V_rpiookENAPAbShgHqvwciSboVQKeQ

ФИФА2018 и GDPR

      Очень интересный кейс на предмет применимости GDPR в России – оформление Паспорта болельщиков граждан ЕС для их участия в Чемпионате мира по футболу ФИФА -2018.

GDPR в России: 100 дней до вступления в силу

       С согласия организаторов семинара "GDPR в России: 100 дней до вступления в силу", выкладываю презентации докладчиков. Так же доступна видеозапись семинара:

https://drive.google.com/open?id=1oFJTr4GOsbd86X9i_64cxsMLdgsXk6wF

       К сожалению, нет материалов презентации зарубежного докладчика из Мюнхена Florian Tannen "Understanding the GDPR and insights on the recent developments from the EU", но на видео его доклад присутствует (на английском языке). Очень интересная дискуссия развернулась в секции "Мнение эксперта Александр Савельев, К.Ю., Старший юрисконсульт IBM Россия, старший научный сотрудник НИУ ВШЭ, член консультативного совета при Роскомнадзоре.", как раз обсуждалось применение законов Евросоюза на территории РФ. А так же, возможные действия Еврокомиссии с российскими организациям, не желающими соблюдать GDPR.

        

Презентации:

      1. "Подходы IBM к реализации GDPR"
 https://drive.google.com/open?id=1etaFI_TtiNy-6xnJqPh1c9SZquH5z_8S

      2.  "Приоритетные шаги на пути к соответствию GDPR"
https://drive.google.com/open?id=1Y1O7YTtgPBG6d7xC_DlLbAL3ebdOlTc5

      3. "Сложности и нюансы реализации GDPR"
https://drive.google.com/open?id=1SQB9765xdF0m3wA9ITWJGl3-1bGQg7DS

     4.  "ФЗ о "Персональных данных" и GDPR, между молотом и наковальней" https://drive.google.com/open?id=1QZF45XaIeel4D_AK3wHFllqoo1EhQx0a


* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Паспорт болельщика

      И снова про футбол.
      В приказ Минкомсвязи от 25.10.2016 №506 "Об утверждении порядка выдачи персонифицированных карт зрителей" были внесены изменения приказом Минкомсвязи от 15.062017 №310. Добавился очень интересный пункт: "В случае необходимости замены бланка ПКЗ в срок менее чем за семнадцать дней до начала первого матча ЧМ-2018 зрителю (иностранным гражданам и лицам без гражданства) на адрес электронной почты направляется отображение электронной формы ПКЗ в формате файла PDF для распечатывания на листе формата A4 и использования для въезда в Российскую Федерацию без необходимости оформления виз."  Ранее допускалось только почтовая отправка заказным письмом. Но при этом есть требование п.16 этого же приказа "Для соблюдения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1> все информационные сообщения, передающиеся по открытым каналам связи, должны быть обезличены или защищены соответствующим криптографическим оборудованием.".  Обезличить скан паспорта с биометрическими ПДн явно не удастся, получается до всех иностранцев строим криптоканалы?         Интересно как тогда реализована система защиты Системы идентификации футбольных болельщиков, если позволяет отправлять сканы паспортов на любые внешние электронные почтовые ящики. И отдельный вопрос с гражданами ЕС возникает для владельцев сайта fan-id.ru, как им соответствовать GDPR?

Итоги VIII Международной конференции «Защита персональных данных»

   От РКН:
1. По GDPR. Заявлено, что «Требования вступающего в силу в мае 2018 года Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России.        На них распространяется действие российских законов в этой сфере».            Это полностью совпадает с формулировками Регламента ЕС. Под действия GDPR попадают российские компании, оказывающие услуги на территории ЕС, вне зависимости от их фактического местонахождения (бронирование гостиниц, билетов, экскурсий, интернет-магазины, логистика, банковские и почтовые услуги..). В GDPR установлены признаки данной деятельности:
– использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке;
– упоминание потребителей или пользователей, которые находятся в Евросоюзе.
    Платность/бесплатность оказываемой услуги не имеет значения.
     РКН имеет четко обозначенные полномочия и сферу действия, контроль за выполнением GDPR в нее не входит. До заключения соответствующих международных договоров и соглашений, российские компании окажутся «один на один» с европейским правосудием. При этом надо учесть, что кроме общеевропейских штрафов может быть наложено наказание любым членом ЕС по ст.84 GDPR «Государства-члены могут установить нормы относительно иных санкций, применимых за нарушения настоящего Регламента, в том числе за нарушения, которые не подпадают под административные штрафы в порядке Статьи 83, а также принять все меры, для того, чтобы обеспечить их применение. Такие санкции должны быть эффективными, соизмеримыми и должны оказывать сдерживающее воздействие».
   Если же наши государственные органы займут выжидательную и пассивную позицию по взаимодействию с ЕС, то есть риск «передача данных указанной третьей стране или международной организации должна быть запрещена кроме случаев, когда соблюдаются требования настоящего Регламента в отношении передачи данных в соответствии с надлежащими гарантиями, включая обязательные корпоративные правила, и изъятия в конкретных ситуациях.». Есть вероятность и применения подобного решения Еврокомиссии как «санкции», по политическим мотивам (очень своеобразные критерии используются - каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, так же, как и соблюдает нормы и стандарты международного права человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, наряду с публичным порядком и уголовным правом).
    Хотелось бы видеть результат работы МИД и Минкомсвязи /РКН в виде оформленного решения Еврокомиссии в отношении всего ЕС о том, что РФ предлагает адекватный уровень защиты данных, обеспечивая тем самым правовую определённость и единообразие на территории ЕС в отношении РФ. В таких случаях передача персональных данных в РФ может осуществляться без необходимости получения какого-либо дополнительного разрешения.
2. Конкретизировано требование к операторам ПДн, о том, что если оформляется письменное согласие, то в этом письменном согласии должна указываться только одна цель обработки. На каждую цель свое согласие.
3. Информация о судимости субъекта в объема «Да/НеТ» не относится к специальным ПДн. Можно безбоязненно включать в анкетирование при приеме на работу.      Не забывая про тонкости обработки таких данных (отсутствие договорных отношений с субъектом). 
4. Привели правоприменительную практику по ст.13.11 КоАП
    От ФСТЭК/ФСБ:
1. Модели угроз не соответствуют требованиям. Основное замечание: не используется банк данных угроз безопасности информации ФСТЭК, не все угрозы рассматриваются (например, при использовании технологии виртуализации не рассматриваются угрозы, связанные с данной технологией), не обоснованное указание категории нарушителей или их исключение, ошибки в определении класса СКЗИ. Актуальность угроз не подтверждается описательной частью в МУ (отсутствует описание ИС, не приведено обоснование актуальности угроз).
2. В ОИВ необходим выпуск НПА, в которых определяют угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности. Как пример реализации этого требования в Минюсте https://rg.ru/2017/10/27/minjust-prikaz208-site-dok.html. В НПА угрозы могут быть как приведены в виде перечня, так и сгруппированы по типам. Первый случай может использоваться в случае однотипных систем, второй – для не типовых..
3. Отдельное требование про актуализацию МУ и НПА. Так как ФСТЭК требует учитывать при моделировании и составлении перечня угроз БДУ, то возникает необходимость в переоформлении и утверждении актуальных МУ. После каждого обновления БДУ – выпускай новый приказ.
4. Отсутствие МУ –нарушение.
    Тенденции: изменение ФЗ-152 по несовершеннолетним, разработка закона по БПД.

«День открытых дверей для операторов персональных данных»

      Посетил вчера «День открытых дверей для операторов персональных данных»
http://www.rkn.gov.ru/news/rsoc/news54488.htm

      Формат мероприятия понравился, организация тоже неплохая. Впервые побывал в Ситуационном центре РКН. Первые 2 докладчика были бодры и активны, но последующие доклады испортили впечатление. Скучный и формальный подход к подаче информации, на слайдах просто копипаст норм ФЗ и озвучивание написанного. Очень удивило непонимание РКН низкой эффективности используемых механизмов повышения осведомленности операторов.    Только удивляются, почему на протяжении многих лет им задают одни и те же вопросы. Что отметил для себя:
      1. Прямо сказано, что про разъяснения к Федеральному закону № 152-ФЗ «О персональных данных» можете забыть, РКН изменил свою позицию по многим вопросам.
      2. РКН считает, что отнесение информации к персональным данным зависит от окружающих условий и обстоятельств. На мой взгляд, это юридический бред. Здесь и сейчас мое ФИО это ПДн, а завтра и в другом месте – уже нет. И РКН ушел от ответа «а ФИО это ПДн?», зато однозначно указал «IP и e-mail это ПДн».
     3. РКН считает, что в ФЗ все задано «рамочно». Поэтому они трактуют положения ФЗ в каждом конкретном случаи проверок в «ручном» режиме. Особенно повеселило исключение поисковых систем из операторов ПДн. С учетом того, что другое управление того же РКН «зажимает» поисковые системы на предмет рекламы экстремизма и подобного. То же и про архивы, не попадающие под 152-ФЗ.
     4. При проверках организаций, использующих дистанционное получение согласия («галка» на сайте), РКН проверяет наличие процедуры у оператора по подтверждению подлинности субъекта ПДн, поставившего галочку. Огромный простор для наказания.
     5. Задал прямой вопрос «Проводилась ли оценка рисков для РФ в связи с оформлением «паспорта болельщика» для граждан ЕС через российский сайт (в рамках ФИФА 2018)? Ответ – нет, судя по реакции – даже никто не задумывался. Насколько я понимаю, у РКН нет полномочий для принятия каких-либо действий, а с точки зрения российского законодательства – все в порядке. Ждем, когда «петух клюнет», то есть запроса Еврокомиссии.

Вебинар от KPMG " Приведение процессов обработки ПДн в соответствие требованиям GDPR"

     Прослушал очень интересный бесплатный вебинар от KPMG " Приведение процессов обработки пдн в соответствие требованиям GDPR", очень понравились конкретные рекомендации и разбор кейсов. Не пересказ положений, а экспертные рекомендации по реализации. Были интересные вопросы от слушателей, да и сам позадавал. Кристина Боровикова молодец, владеет темой. И без рекламы, что удивительно для бесплатного вебинара от коммерческой организации.

"GDPR в России" от IBM

Посетил сегодня "GDPR в России" от IBM. Краткие впечатления:
1. Организация мероприятия на отличном уровне.
2. Практически полное отсутствие рекламной составляющей, не пытались ничего продать.
3. Очень высокий уровень докладчиков, готовность к живому общению и обсуждению вопросов из зала.
4. Было интересно услышать практические кейсы из жизни международных компаний (IBM и Касперский), в части проблем с европейскими субъектами ПДн.
5. Для себя уточнил несколько важных моментов по европейскому взгляду на выполнение GDPR (вредность письменных согласий субъектов, роль DPO и т.д.).
6. Прозвучала интересная информация с европейских конференций по защите ПДн о том, что еврокомиссия планирует блокировать сайты третьих стран, которые отказываются признавать и выполнять GDPR. С акцентом на РФ.
7. Почему то многие, включая часть докладчиков считают, что 152-ФЗ, определяет персональные данные как "позволяющие определить субъект", хотя эти формулировки давно в 152-ФЗ поменяли.
Выводы: Европейцы еще сами не знают, что и как они будут реализовывать при вступлении в силу GDPR. Все ждут правоприменительной практики. Очень много тонкостей. Но РФ это точно коснется.