• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Что было? Что будет? К двухлетию принятия закона «О персональных данных».

Created: 02 November 2021

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» в журнале №10 за октябрь 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Закон «О персональных данных» был опубликован в июле и вступил в силу в октябре 2019 года. Сформировалась ли за два года практика его применения, с какими вопросами столкнулся бизнес, какие резонансные поправки были в него внесены?
Правоприменительная практика. Для юристов-практиков, да и для руководителя очень важным является правоприменительная практика для любого нового закона. Нужно понять, будет ли он «спящим» или будет активно применяться. По закону «О персональных данных» такая, хоть и не большая, практика есть:
1. СМИ сообщали, что в Узбекистане раскрыта преступная группа, которая занималась незаконной регистрацией IMEI-кодов мобильных устройств на паспорта третьих лиц. Эта группа занималась регистрацией контрабандных мобильных устройств на имена граждан, пересекающих государственную границу, незаконным сбором, хранением и использованием персональных данных физических лиц.
2. В Узбекистане было ограничено использование ряда социальных сетей в связи с нарушением требований законодательства при обработке персональных данных граждан Республики Узбекистан.

Как сейчас обстоят дела с имплементацией закона «О персональных данных» в Узбекистане?
Мы провели собственное исследование для организаций, которые точно обрабатывают значительные объемы персональных данных - коммерческие банки и платёжные организации. Оказалось, что зарегистрировали хотя одну базу персональных данных в государственном реестре только 31% из всех банков и 17% платежных организаций. Исследование проводилось во втором квартале 2021 года.
А ведь и те и другие находятся под строгим контролем регуляторов и обычно довольно внимательно относятся к выполнению базовых нормативных требований. Т.е. можно предположить, что в целом ситуация ещё хуже.
Примечание: Форма проверки регистрации баз данных на сайте государственного центра персонализации была модифицирована и повторить исследования для других предприятий по той же методике сейчас невозможно.

Всё чаще в текстах типовых договоров можно встретить отсылки и упоминания о законе «О персональных данных». Часто это сделано весьма своеобразно, скорее формально и с явным перекосом в сторону оператора (т.е. лица, обрабатывающего персональные данные), а не субъекта   потребителя услуг. Очень показателен пример одного из банков, который включил в текст типового вкладного договора буквально следующий текст: «В соответствии с требованиями законодательства о персональных данных вкладчик предоставляет банку бессрочное согласие на обработку и использование банком любых персональных данных вкладчика для ведения банком своей деятельности, выполнения банком условий настоящего договора и требований действующего законодательства, а также других целях, не противоречащих законодательству РУз.»

В чём на наш экспертный взгляд заключаются ошибки в такой формулировке?
1. В целом всё предложение сформулировано так, что именно исполнение законодательства о персональных данных требует вкладчика дать бессрочное согласие на обработку всех его данных как угодно. В то время как напротив   закон защищает интересы субъекта (в данном случае вкладчика) и даём ему право знать цели, сроки и способы обработки его персональных данных (ст.22).
2. Почему у вкладчика запрашивается бессрочное согласие? Ведь статья 10 закона прямо говорит «Срок хранения персональных данных определяется датой достижения целей их сбора и обработки.» То есть, исходя из этого требования закона срок согласия на обработку должен ограничиваться сроком вклада.
3. Для чего берётся согласие на обработку любых (т.е. всех) персональных данных? Согласие на обработку любых персональных данных заведомо избыточно и противоречит п.5 ст.19. закона, который определяет, что «объем и характер обрабатываемых персональных данных должны соответствовать целям и способам их обработки». В понятие «любые персональные данные» входят биометрические, генетические и специальные персональные данные (сведения о здоровье, вероисповедании, частной жизни). Они явно не нужны банку для оказания услуг. Кроме того, обработка таких данных или запрещена (п.2 ст.25) или осуществляется при особом согласии субъекта (п.3 ст.26).
4. Ссылка на «выполнение требований законодательства» и получение на этом основании согласия на обработку   несостоятельна. Если законодательство требует обрабатывать ПДн, то получать согласие субъекта на это не требуется (ст.18). В той же статье закона дан исчерпывающий перечень условий, при которых вообще возможна обработка персональных данных. Во-первых   согласие субъекта. Во-вторых   необходимость обработки для выполнения условий договора, стороной которого является субъект. В-третьих   для исполнения обязательств, определённых законодательством. Есть и другие условия, но подавляющее количеств случаев описаны этими тремя пунктами.
5. Каковы точные цели обработки персональных данных вкладчика? Под строчку «другие цели, не противоречащие законодательству» подпадает и передача персональных данных каким-нибудь рекламным агентствам для рассылок, и другие цели, непонятные вкладчику.
6. Приведённой выше формулировки в договоре явно не достаточно. Напротив, юристы, предложившие такой текст, ещё и подводят мину замедленного действия. У бизнеса создаётся впечатление, что они «соответствуют» закону и можно успокоиться, а ведь честнее будет составить отдельный документ и предлагать его подписывать клиенту - «согласие на обработку персональных данных» и там всё подробно расписать - объем данных, цели, сроки обработки, права и обязанности. А сейчас всё выглядит так, что работы банка по имплементации нового закона начались и закончились введением одного пункта в договор с клиентом.

Изменения в законе «О персональных данных». Локализация или «приземление» персональных данных.

  • В середине апреля 2021 года вступила в силу Статья 27.1 «Особые условия обработки персональных данных граждан Республики Узбекистан». Она требует чтобы обработка ПДн граждан Узбекистана обеспечивалась на технических средствах, физически размещенных на территории Республики Узбекистан.
  • В начале мая состоялось контрольно-аналитическое мероприятие в Олий Мажлисе, на котором депутаты отметили «отсутствие видимых результатов соответствующих государственных органов в этой сфере». А уже в начале июля от государственной инспекции «Узкомназорат» стало известно о начале ограничения доступа к ряду социальных сетей, нарушающих требование этой новой статьи.
  • О задачах, решаемых новой статьёй закона говорил ранее пресс-секретарь МинИКТ Шерзод Ахматов : «В случае хранения персональных данных граждан Узбекистана на территории иностранного государства, государство не сможет контролировать исполнение иностранной компанией требований закона «О персональных данных» в отношении своих граждан.» Проще говоря, при обработке ПДн за рубежом возникает проблема с подсудностью по административному и уголовному кодексам Узбекистана. Их действие в общем случае не распространяется на правонарушения, совершенные вне пределов страны.
  • Дисклеймер: следующее суждение составлено на основании опыта эксперта. Комментариев официальных органов по тексту ст.27.1 к моменту публикации - нет. Подобные же нормы о локализации ПДн есть в аналогичных законах России и Казахстана. Там, как и в нашем законе, нет запрета на обработку персональных данных граждан Узбекистана за рубежом. В пользу этого утверждения говорит и тот факт, что трансграничная передача данных прямо допускается и регламентируется статьёй 15 закона. Таким образом, в настоящее время, при обработке ПДн граждан Узбекистана, главное чтобы первичная/основная база данных находилась на территории страны и была зарегистрирована в государственном реестре в Государственном центре персонализации.
  • Легко можно представить себе небольшой старт-ап, обрабатывающий персональные данные граждан Узбекистана, но расположенный на зарубежных хостинг-площадках   это распространенная практика. По новому закону такая деятельность может оказываться незаконной и будет ограничена (как это произошло со Skype, TikTok и др.) - т.е. бизнес окажется парализованным.

Выводы и рекомендации по итогам наблюдения за реализацией закона «О персональных данных» на практике:

1. Для руководителя современного предприятия, тем более тесно связанного с ИТ, жизненно важно отслеживать изменения в таком резонансном законе и своевременно получать у регулирующих органов комментарии к новеллам. А уж обсуждение закона и критические отзывы о его исполнении со стороны органов государственной власти тем более должны стать «тревожным звоночком». Показателен описанный выше пример с оперативной блокировкой (ограничением доступа) соцсетей.
2. Крупные предприятия обрабатывают большие объемы персональных данных своих сотрудников, клиентов   действующих, бывших и потенциальных. При этом только в очень редких случаях есть сотрудник или служба, отслеживающая исполнение законодательства о персональных данных. Чаще ни руководство предприятия, ни юридическая служба не имеют представления о том какие персональные и как обрабатываются, существуют ли базы данных, подлежащие регистрации в государственном реестре. А ведь создание специального органа или ответственного сотрудника это прямое требование ст.31 профильного закона. Крупные мировые компании уже давно имеют в штате DPO (англ. Data protection officer), т.е. специального сотрудника, ответственно за защиту персональных данных. Он находится в ряду таких специалистов-управленцев как СEO, CIO, CISO. Для Узбекистана более рациональной видится практика создания совещательного органа/комиссии по персональным данным с включением в неё юристов, ИТ-специалистов, представителей производства, операционного/линейного руководства.
3. Риски нарушения правил обработки персональных данных скрываются в самых неожиданных местах. Например, в кадровой службе. Следует проявлять осторожность при обработке данных граждан до трудоустройства. Нарушением закона «О персональных данных» может быть составление базы кандидатов для замещения вакантных должностей и обработка таких данных без получения согласия субъекта. Они собираются и обрабатываются вне рамок трудового законодательства. Между предприятием и соискателем не установлены договорные отношения, законные условия для обработки персональных данных отсутствуют. Поэтому лучше подстраховаться и взять с соискателя согласие на обработку его персональных данных.
4. На предприятии необходимо тщательно проанализировать все процессы, связанные с обработкой персональных данных. Например, коммерческие банки широко применяют системы скоринга   определения рисков при выдаче кредитов. В рамках скоринга обрабатываются большие объёмы персональных данных, в том числе весьма специфические   сведения о доходах, семейном положении, имуществе. Обработка таких данных требует особых технических и организационно-юридических процедур. Анализ выполнения норм законодательства для таких нетривиальных случаев может проводиться или внутренним органом (комиссией по персональным данным) или с привлечением внешних экспертных организаций.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости