Бизнес и регуляторы обсудили наиболее актуальные вопросы Data Protection

7 ноября в Москве состоялась Х Международная конференция «Защита персональных данных»

Среди вопросов, которые поднимались на мероприятии: нормативно-правовое регулирование и контроль за оборотом персональных данных (ПД) в условиях цифровизации экономики; законодательное обеспечение государственного контроля за обработкой больших пользовательских данных; интернет как среда новых вызовов и угроз для неприкосновенности частной жизни; противодействие мошенничеству. Кроме того, были затронуты темы совершенствования и гармонизации национального законодательства в рамках процессов ратификации Протокола к Модернизированной конвенции Совета Европы № 108 и практики применения General Data Protection Regulation (GDPR).

Открыл конференцию руководитель Роскомнадзора (РКН) Александр Жаров. По словам главы ведомства, российское законодательство в области защиты персональных данных, с одной стороны, соответствует общеевропейским подходам, с другой – имеет самобытные особенности. К последним относится, например, закон, обязывающий компании хранить и обрабатывать ПД граждан РФ на территории России, который вступил в силу 1 сентября 2015 года. О его соблюдении, по данным РКН, заявили более 400 тыс. компаний, среди которых есть и транснациональные гиганты.

А. Жаров отметил, что ведомство готовит пакет предложений, направленный на введение административной ответственности не только за распространение ПД, полученных преступным путем, но и за их приобретение и последующее использование.

Поскольку утечка персональных данных является серьезной мировой проблемой, то виноват не только тот, кто их украл. Гражданин, сознательно покупающий на черном рынке массив ПД и потом использующий их, также должен нести ответственность, пояснил А. Жаров журналистам.

При этом, по словам главы РКН, важной задачей при предоставлении цифровых услуг остается необходимость обеспечения баланса законных прав граждан и интересов бизнес-сообщества. «Ключевым элементом соблюдения данного баланса, по нашему мнению, может стать унификация существующих подходов к условиям различных пользовательских соглашений, разработка отраслевых кодексов и стандартов, соответствующих требованиям законодательства, но в то же время учитывающих профессиональную специфику деятельности», – отметил руководитель Роскомнадзора.

Это, по мнению А. Жарова, позволит защитить рядового пользователя, который, скачав или обновив очередное приложение, может стать объектом слежки, маркетинговых исследований либо иных неправомерных действий.

Первый заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Людмила Бокова зачитала приветствие участникам конференции от председателя Комитета Андрея Клишаса, а также поблагодарила РКН за работу по повышению осведомленности граждан, прежде всего детей и подростков, в части защиты ПД.

Председатель Комитета Ассоциации европейского бизнеса по ИТ-Телекому Эдгарс Пузо посетовал на то, что в российском законодательстве слишком большая роль отводится необходимости получения согласий пользователя на обработку его данных, ведь по закону уже не допускается обработка ПД, несовместимая с целями их сбора. В итоге этот процесс, по мнению эксперта, становится некоей вынужденной мерой как для оператора, так и для субъекта ПД. Э. Пузо предложил переходить на более гибкие модели внедрения новых норм, а также выразил удовлетворение готовностью российских регулирующих органов к диалогу с бизнесом, в том числе – зарубежным.

Врио заместителя руководителя РКН Юрий Контемиров обратил внимание на то, что сейчас почти не осталось сфер деятельности, не связанных с интернетом. У этой ситуации есть сильные и слабые стороны. К первым относятся: индивидуальный подход к каждому потребителю услуг с учетом его личных предпочтений; систематическая, непрерывная актуализация обрабатываемых ПД; мультивариантность моделей обработки (например, получить услугу в Сети можно без заполнения регистрационной формы – достаточно зайти на сайт через свой аккаунт в соцсети). Ко вторым – низкий уровень осведомленности и информирования граждан об их правах как потребителей услуг; несоблюдение операторами отдельных положений законодательства РФ в области ПД; нарушение баланса прав граждан и интересов оператора при оказании услуг.

Ю. Контемиров сообщил о подготовке инициированного РКН законопроекта, который обяжет оператора размещать ссылку на документ, определяющий политику компании в отношении обработки ПД, именно на той странице, на которой идет сбор информации о пользователе. По словам представителя Роскомнадзора, это повысит осведомленность граждан об обработке их данных в рамках получения тех или иных услуг.

Партнер Ernst & Young Евгений Ким выделил основные риски, которые должны учитывать операторы ПД. Они связаны с поведением пользователей; с мобильными устройствами; с доступом к облачным хранилищам; с ненадлежащей настройкой средств защиты информации; с обработкой данных из нелегальных источников; с передачей ПД третьим сторонам; с предоставлением доступа собственным сотрудникам.

С мая 2018 года, когда вступил в силу GDPR, по сентябрь 2019 года в рамках этого регламента было назначено 74 штрафа, рассказал руководитель группы по международному сотрудничеству Европейского надзорного органа по защите данных (European Data Protection Supervisor, EDPS) Оливье Маттер.

Старший менеджер в сфере защиты информации и кибербезопасности KPMG в России и СНГ Кристина Боровикова сообщила, что чаще других штрафуют уполномоченные органы Венгрии и Испании. А рекордсменом в этой сфере является Великобритания. В топ-3 по размерам штрафов вошли кейсы British Airways (240 млн евро) и Marriott International в Великобритании (110 млн евро) и Google во Франции (50 млн евро).

Старший юрист практики IT&IP PwC Артем Дмитриев сравнил практические последствия для бизнеса California Consumer Privacy Act, GDPR и российского закона «О персональных данных».

Старший консультант практики защиты данных и кибербезопасности юридической фирмы «АЛРУД» Анастасия Петрова разъяснила, что понадобится сделать российским компаниям в связи с ратификацией Россией протокола к Модернизированной конвенции Совета Европы № 108.

Часть вопросов конференции была посвящена утечкам данных из кредитных организаций. Так, в прошлом году Центробанк России зафиксировал всплеск мошенничества в финансовой сфере с использованием методов социальной инженерии: злоумышленники по телефону обманом вынуждают жертв перевести им деньги или узнают у них конфиденциальную информацию. Как сообщил первый заместитель начальника департамента информбезопасности ЦБ РФ Артем Сычев, в 2018 году 97% хищений с платежных карт физлиц были совершены именно таким способом.

Для защиты личной информации граждан от утечек или хищений необходимо принять ряд мер на уровне государства. Такое мнение высказал исполнительный директор – начальник Центра организации обработки и защиты персональных данных Сбербанка Евгений Калинин. В частности, по его словам, требуется внедрение механизма оперативной блокировки интернет-ресурсов, нелегально распространяющих ПД, а также сайтов, которые содержат сведения о том, как купить или продать защищаемую законом информацию.

Также необходимо повысить нижний порог ответственности за сбор сведений, составляющих коммерческую, налоговую или банковскую тайны, отметил Е. Калинин. Сегодня этот порог составляет штраф в размере 80 тыс. рублей.

Представитель Сбербанка подчеркнул также важность повышения киберкультуры населения России и подготовки квалифицированных кадров для отрасли.

***

В конференции приняли участие представители федеральных органов исполнительной власти РФ, уполномоченных по защите данных стран Евросоюза, представители кадровых и юридических подразделений кредитно-финансовых структур, операторов связи, учреждений здравоохранения и образования, предприятий нефтегазового, энергетического и промышленного комплексов, транспортных и туристических компаний, подразделений информационной безопасности.

Х Международная конференция «Защита персональных данных» прошла при поддержке Минкомсвязи России и Роскомнадзора. Организаторами традиционно выступили RSpectr и Project Si.