За последние годы все больше внимания уделяется вопросам безопасности персональных данных. Интернет стал неотъемлемой частью нашей жизни, и все больше информации о нас хранится в цифровом виде. В связи с этим, законодатели решают внести поправки в закон о персональных данных в целях улучшения защиты личной информации.
В начале 2021 года Роскомнадзор анонсировал ряд изменений в законодательстве о персональных данных, которые планируются к внедрению в ближайшее время. Основная цель поправок – обеспечить максимальную защиту конфиденциальности пользователей Интернета и предотвратить утечку и незаконное использование их личной информации.
Одним из самых значительных изменений является расширение круга лиц, обязанных соблюдать требования закона о персональных данных, в том числе и таких важных категорий, как медицинские учреждения и образовательные организации. Теперь они будет подлежать строгим правилам в отношении обработки личной информации, в частности, при использовании средств облачных технологий и передаче данных за пределы Российской Федерации.
Изменения, связанные с обработкой персональных данных
Одним из основных изменений, внесенных поправками в закон о персональных данных, касается обработки персональных данных. Согласно обновленным правилам, субъекты данных должны будут давать свое явное и добровольное согласие на обработку и передачу своих персональных данных третьим лицам.
Вместе с этим, внесены дополнительные требования к организациям, осуществляющим обработку персональных данных. Они должны будут обеспечивать надежную защиту персональных данных и принимать все меры для предотвращения несанкционированного доступа, утечек и потери информации. Для этого организации должны будут принять соответствующие технические и организационные меры, например, использовать шифрование и многократную проверку доступа к системам хранения данных.
-
Поправки в закон также содержат уточнение понятия «персональные данные». Так, в него были добавлены новые типы данных, которые также должны считаться персональными. Например, членами семьи и близкими родственниками субъектов данных, а также частично идентифицирующей информации, такой как IP-адрес, номер устройства и другие атрибуты.
-
Также новации затрагивают право на удаление персональных данных. Согласно изменениям, субъекты данных имеют право обратиться к оператору и запросить удаление своих персональных данных, если их обработка стала незаконной или несоответствующей целям их сбора.
Все эти изменения направлены на повышение защиты персональных данных субъектов и содействие прозрачности в процессе их обработки и передачи. Организации, работающие с персональными данными, должны будут более ответственно подходить к обеспечению конфиденциальности и безопасности этих данных, а субъекты данных получат больше возможностей контроля над своей информацией.
Обязанности организаций и государственных органов по защите персональных данных
Одной из основных обязанностей организаций и государственных органов является соблюдение требований, установленных законом о персональных данных. Они должны регулярно обновлять свои системы и процедуры обработки персональных данных, чтобы обеспечить их защиту от несанкционированного доступа и утечки информации. Кроме того, они должны уведомлять субъектов персональных данных о целях сбора и обработки их информации, а также получать согласие на обработку указанных данных в случаях, предусмотренных законом.
Для обеспечения безопасности персональных данных организации и государственные органы должны принимать меры по защите информации от несанкционированного доступа, изменения, распространения или уничтожения. Они должны выделять ресурсы на создание и поддержание безопасных информационных систем, а также проводить регулярные аудиты и проверки своих систем, чтобы выявлять и устранять уязвимости.
В случае нарушения безопасности персональных данных, организации и государственные органы обязаны уведомлять Роскомнадзор и субъектов персональных данных о таком инциденте. Они также должны принимать меры для минимизации возможных последствий нарушения и восстановления безопасности данных.
Новые требования к хранению и передаче персональных данных
Поправки к закону о персональных данных, принятые Роскомнадзором, введут ряд новых требований к хранению и передаче персональных данных.
Во-первых, организации, собирающие и хранящие персональные данные, должны усилить меры защиты информации. В качестве основных требований выделяются шифрование данных, систематическое обновление антивирусного программного обеспечения, а также использование двухфакторной аутентификации для доступа к хранилищу персональных данных.
- Шифрование данных позволяет защитить информацию от несанкционированного доступа. Для этого требуется использовать современные криптографические алгоритмы и актуальные ключи шифрования.
- Систематическое обновление антивирусного программного обеспечения позволяет предотвратить заражение системы компьютерными вирусами и вредоносными программами, которые могут привести к утечке персональных данных.
- Использование двухфакторной аутентификации обеспечивает дополнительный уровень защиты данных, так как для доступа к хранилищу персональных данных требуется подтверждение не только паролем, но и другим фактором, например, смс-кодом или отпечатком пальца.
Во-вторых, в поправках уточняются требования к передаче персональных данных третьим лицам. Лицо, собирающее или обрабатывающее персональные данные, должно обеспечить надежность и безопасность передачи информации. Передача может осуществляться только при наличии согласия субъекта персональных данных и в соответствии с требованиями закона.
- Согласие субъекта персональных данных должно быть явным и выраженным, предоставленным в письменной, электронной или иной форме, и свободно отзываемым.
- Передача персональных данных третьим лицам должна осуществляться с соблюдением требований конфиденциальности.
- Оповещение субъекта персональных данных о передаче его информации третьим лицам может осуществляться в установленном порядке.
Поправки к закону о персональных данных, внесенные Роскомнадзором, направлены на усиление защиты персональных данных и обеспечение их безопасной передачи. Эти изменения позволят укрепить права и интересы субъектов персональных данных, а также способствовать развитию информационной безопасности и защите от кибер-угроз.