Оглавление
Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?
Автор: Ксения Шудрова, эксперт по информационной безопасности
Утечки
Утечка – слово этого года в отрасли. Мы наблюдали бесконечный поток утечек персональных данных самых разных масштабов: виноваты были и мелкие организации, и крупные корпорации. К концу года в СМИ все чаще стало появляться пессимистичное утверждение, что защищать нечего, все персональные данные россиян уже слиты в сеть. Но, безусловно, это не так. Утекли, в частности, устаревшие данные, кроме того, базы смешивались, и различить в них однофамильцев не представляется возможным, многие данные многократно дублировались, а какая-то информация, к счастью, никогда не попадала в Сеть.
Ценность персональных данных все еще очень высока.
В новом году закрепится тренд на увеличение количества и масштабов утечек. Причиной тому станет нарастающий темп цифровизации общества, в частности, повсеместное использование мобильных приложений. Каждое уважающее себя кафе, сервис такси или салон красоты настойчиво предлагает пользователю использовать приложение. Но зачастую при разработке таких программ ставка делается на удобство пользователя и быстроту написания кода, а безопасность при обработке персональных данных учитывается не всегда.
Вследствие увеличения количества утечек стали появляться многочисленные сервисы, которые предлагают пользователям помощь в проверке несанкционированного распространения данных. Например, в апреле этого года появился проект, поддержанный Национальным координационным центром по компьютерным инцидентам, под названием «Утекли ли ваши данные? Проверьте» – для поиска утечек персональных данных по номеру телефона, логину или электронной почте. Но далеко не всем сайтам можно доверять, некоторые лишь маскируются под легальные сервисы поиска утечек, а на деле осуществляют сбор личной информации в преступных целях.
Особые данные
В 2024 г. окончательно сформировалась тенденция, которая, несомненно, останется с нами на ближайшие годы, и звучит она так: одни категории данных важнее других.
Выделяют специальные категории персональных данных, биометрические персональные данные и персональные данные несовершеннолетних. Об особом подходе к ним говорится в законопроектах, в публикациях СМИ и на профильных конференциях.
1 июня 2024 г. Минцифры РФ подготовило методические рекомендации для тех, кто публикует сведения о несовершеннолетних, пострадавших от противоправных действий или бездействия.
Одним из обсуждаемых в области биометрии является законопроект № 718834-8 «О внесении изменений в часть первую Гражданского кодекса Российской Федерации (об охране голоса)», который на данный момент находится на рассмотрении в Государственной Думе.
Строгие наказания
Еще один важный тренд – наказания становятся строже.
30 ноября 2024 г. Президент РФ подписал Федеральный закон № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» о введении в УК РФ новой статьи 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения». В статье говорится о наказании в виде лишения свободы на срок до десяти лет со штрафом до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Усугубляющими обстоятельствами являются:
данные несовершеннолетних,
специальные категории персональных данных,
биометрические персональные данные,
трансграничная передача.
Создание сайта, заведомо предназначенного для обработки персональных данных, полученных незаконным путем, наказывается штрафом до 700 тыс. руб., лишением свободы до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет.
Кроме этого, 30 ноября 2024 г. были внесены изменения в Кодекс Российской Федерации об административных правонарушениях, приняты так называемые оборотные штрафы (Федеральный закон № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Новым законом предусмотрены наказания: для граждан в размере до 800 тыс. руб.; для должностных лиц – до 2 млн руб.; для юридических лиц (и ИП) – от 1 до 3 процентов годовой выручки, но не более 500 млн руб.
ФСТЭК России предложила законопроект № 148828 «О внесении изменений в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях», предусматривающий повышение штрафов за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, и нарушение требований о защите информации (в том числе в сфере защиты персональных данных).
Фокус на согласиях
Большое внимание в правовом поле уделяется согласию на обработку персональных данных.
Правительство поддержало законопроект о запрете избыточного сбора персональных данных № 679980-8 «О внесении изменений в ст. 9 Федерального закона «О персональных данных» и ст. 10 закона «О защите прав потребителей» (в части установления особенностей обработки персональных данных), в котором предлагается запретить продавцам ограничивать доступ потребителя к информации о товарах, по причине отказа потребителя предоставить персональные данные. Согласие на обработку персональных данных при этом должно быть оформлено отдельно от иных документов. В конце октября 2024 г. законопроект был принят в первом чтении.
В апреле этого года в Госдуму внесли законопроект «О внесении изменений в ст. 9 Федерального закона «О персональных данных» (№ 608384-8) о предоставлении субъекту возможности отзыва согласия на обработку персональных данных в той же форме, с помощью которой согласие было получено. Например, если согласие было дано через сайт в электронном виде, то должна быть реализована возможность отозвать его так же, через сайт. Государственная Дума планировала рассмотреть законопроект в сентябре текущего года, но пока новой информации о нем нет.
В то же время некоторые данные становятся общедоступными. В Федеральном законе от 29.05.2024 № 114-ФЗ «О внесении изменений в Федеральный закон «Об исполнительном производстве», который вступит в силу весной 2025 г. (через 360 дней после опубликования), говорится о реестре должников по алиментным обязательствам. Сведения по исполнительным производствам будут являться общедоступными до исключения сведений о должнике из указанного реестра в связи с полным погашением задолженности или по другим основаниям, установленным в соответствии с порядком создания и ведения банка данных.
Океаны и моря данных
С 1 сентября 2025 г. полностью вступит в силу Федеральный закон от 8 августа 2024 г. № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона «О персональных данных», вводящий новую статью. В ст. 13.1 «Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним» говорится о составах персональных данных, которые будут передаваться по требованию Минцифры РФ в обезличенном виде в государственную информационную систему, что свидетельствует о появлении большого государственного океана данных.
На данный момент Минцифры РФ совместно с Ассоциацией больших данных прорабатывает порядок доступа к государственным данным. А крупные российские компании, в свою очередь, подписывают отраслевой стандарт защиты данных, который разработали в Ассоциации больших данных. Продолжая метафору с океаном, информационные системы корпораций можно сравнить с морями данных.
Определенно, крупные операторы будут укрупняться, а мелкие будут исчезать или становиться их частью, как реки, впадающие в море.
Использование «Госуслуг»
Сервис «Госуслуги» уже сейчас используется гражданами для управления своими согласиями. Однако попадают туда далеко не все согласия на обработку персональных данных – скорее всего, ситуация будет выправляться. В будущем пользователь сможет управлять всеми своими согласиями из профиля «Госуслуг».
Активным трендом может стать использование сервиса «Госуслуги» в части уведомления граждан об утечке персональных данных. Уже сейчас через сервис возможно получить компенсацию, если компания, допустившая утечку, инициирует диалог с пострадавшим.
Появляются идеи о предоставлении пользователю возможности через «Госуслуги» потребовать компенсацию, не дожидаясь, когда ее предложит оператор, что может привести к появлению недобросовестных пользователей. Пока о выплатах через «Госуслуги» ничего не известно, и субъекты все так же требуют компенсации через суд. Суммы обычно одобряют небольшие, порядка 5 тыс. руб.
Ранее предполагалось, что добровольная выплата компенсаций позволит оператору избежать серьезных наказаний и повлияет на сумму штрафа, однако изменения в КоАП РФ и УК РФ были приняты без таких формулировок.
Итак, предсказуемые тренды в сфере персональных данных 2025 г. намечены. Безусловно, появятся и новые, непредсказуемые на данный момент. Но имеющийся опыт, внимание к деталям и гибкость в принятии решений помогут адаптироваться к любым изменениям. Успешного года!
ITSec_articles