Соцсети проверят на соблюдение закона "О персональных данных"

В декабре Роскомнадзор опубликует план проверок на соблюдение Закона "О защите персональных данных", обязывающего хранить персональные данные россиян на территории РФ. С момента вступления закона в силу, 1 сентября, ведомство получило 5,399 тысячи уведомлений от различных компаний о хранении данных в соответствии с законом. "При этом выявлено три факта размещения баз персональных данных на территории иностранных государств. По ним возбуждены административные производства по статье 13.11 Кодекса об административных правонарушениях", - сообщила заместитель главы Роскомнадзора Антонина Приезжева.

До конца года запланировано еще более 300 проверок на соблюдение закона, в следующем году это число значительно возрастет, проверкам подвергнутся в том числе соцсети, интернет-магазины и финансовые институты.

Кроме того, ведомство планирует в марте 2016 года представить стратегию работы в сфере защиты персональных данных. Об этом завил глава ведомства Александр Жаров на конференции "Защита персональных данных": "Очевидно, что защита личного пространства человека и его информированное согласие на обработку персональных данных, трансграничную передачу персональных данных должны быть осознанными. Поэтому логично, что мы подошли к разработке такой информационно-просветительской стратегии. Сейчас каждый из нас может стать жертвой мошенников и потерять не только покой, но и деньги. Для этого достаточно одного клика при согласии на обработку персональных данных".

Ведомство уже начало работу по повышению информированности граждан в вопросе защиты их персональных данных. "Первый шаг публичный уже сделан - это ролик социальной рекламы, сайт "персональныеданные.дети", для специалистов - комментарии к закону об обработке персональных данных. Все это направлено на то, чтобы самые широкие слои населения - от детей, учащихся в начальной школе, заканчивая взрослыми людьми - принимали осознанное решение по поводу распространения персональных данных", - отметил Жаров.

Главным результатом переноса персональных данных на территорию РФ, по мнению представителей отрасли информационной безопасности, стало в первую очередь облегчение проведения проверок Роскомнадзором. "Теперь при проверках пропадает языковой барьер с владельцами площадок размещения персданных, нет необходимости оглядываться на локальное законодательство, скорость процессов увеличивается. Кроме этого, раньше в случае нарушений за границей контролер почти ничего не мог сделать, а в случае выявления нарушений на территории России у контролера гораздо больше возможностей повлиять на нарушителя. В результате количество нарушений законодательства по защите персональных данных должно снизиться, хоть это и потребует дополнительной работы от бизнеса", - считает руководитель сети дата-центров компании КРОК Павел Колмычек.

Правда, перенос данных с точки зрения кибербезопасности не панацея. "Интернет и цифровой мир не имеют границ. Надежность данных определяется не географическими признаками хранения, это понятие тяжело применить по отношению к Интернету. Она скорее обусловлена набором средств защиты, которыми хранилище обеспечено, соблюдены ли права доступа и насколько надежно зашифрованы данные. Именно шифрование обеспечивает сейчас возможность хранить данные безопасно даже в открытых хранилищах, - заверил глава представительства компании Check Point в России и СНГ Василий Дягилев. - В подавляющих случаях безопасность в России обеспечивается не по принципу реального построения периметра защиты, а просто на уровне соответствия требованиям регуляторов, которые могут обновляться с некоторой задержкой. Это может привести к тому, что мы будем вынуждены хранить наши данные в менее безопасных системах".

При этом эксперты поддержали инициативу по разработке стратегии в сфере защиты персональных данных. "Конечно, нельзя несколькими законодательными инициативами покрыть все аспекты отрасли и варианты использования персональных данных, это слишком сложно. Должны быть заданы не только политические, но и технологические направления работы, должна проводиться серьезная методологическая работа, и все это возможно только после определения стратегии и получения ответа на вопросы, что мы делаем, в чем смысл этих действий и как мы это видим, - отметил Василий Дягилев. - Кроме того, нужно усиливать диалог власти и бизнеса. Сейчас это скорее выглядит как попытки бизнеса исправить в короткие сроки ошибки и явные несоответствия в документах, которые публикуются. Мы видим очень мало инициатив, когда бизнес привлекается на этапе разработки. Власть должна досконально понимать те сценарии, в которых используются персональные данные, и подходить к этому вопросу с позиций информационной безопасности, а не традиционной физической и правовой безопасности".

Стратегии обычно создают в момент, когда работа над областью только-только начинается. Но в России законодательство в части защиты персональных данных действует уже почти 10 лет и никаких революционных изменений в нем не было. "Это свидетельствует об адекватности зафиксированных в законе требований. С другой стороны, законодательство о защите персональных данных есть далеко не во всех европейских странах. И профессиональные юристы отмечают, что даже на фоне тех стран, где персональные данные защищают на законодательном уровне, российское законодательство является одним из наиболее требовательных", - резюмировал Павел Колмычек.