Сегодня нам приходится давать согласия на обработку своих (и не только) персональных данных практически на каждом шагу: получение государственной услуги, регистрация на маркетплейсе, оказание медицинских, банковских, образовательных услуг и т. д. Как правило, на срок согласия и объём предоставляемых персональных данных внимания не обращаем. Тем не менее Федеральным законом № 152-ФЗ «О персональных данных» чётко описаны эти рамки: хранение персональных данных — не дольше, чем требуют цели обработки и уничтожение (обезличивание) — по достижении (утраты достижения) целей. А что на практике?
«Ночь, улица, фонарь, аптека…»
Банк, справка об открытых счетах в банке, согласие на 50 (!) лет по 28 (!) позициям, включая выписку об остатке материнского капитала, сведения из электронной трудовой книжки, сведения об отнесении гражданина к категории граждан предпенсионного возраста, данные транспортных средств. В медицине и образовании пошли ещё дальше: бессрочное предоставление согласия (будем верить, для того чтобы быть проактивными и находить решения до возникновения проблем). Поражает объём избыточности запрашиваемых для обработки сведений, которые никак не соотносятся с целью. Срок в 50 лет очень удивляет (особенно если подписать согласие лет так в 60–70).
«Бессмысленный и тусклый свет…»
Очевидно, чем больше объём информации (что неизбежно при её избыточном получении), тем больше ресурсов потребуется для её защиты. В ноябре 2024 года заместитель председателя правления Сбербанка С. Кузнецов на SOC-форуме заявил, что около 90% взрослого населения, к сожалению, в той или иной части какие-то персональные данные имеют в открытом доступе. Роскомнадзор зафиксировал за 2024 год 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах. Утечки неизбежны, но потеря базы данных с двумя позициями всё же предпочтительнее, чем с двадцатью восьмью и бессрочной возможностью кражи.
«Живи ещё хоть четверть века…»
Конечно, так не везде. Как правило, в государственных информационных системах персональные данные уничтожаются (обезличиваются) по достижении цели. Сегодня в Московской области находится в эксплуатации более 70 государственных информационных систем, в 70% из них осуществляется обработка персональных данных. Для защиты информации проводится аттестация. Аттестационные испытания представляют собой комплекс мероприятий, целью которых является подтверждение соответствия объекта информатизации требуемому уровню безопасности при обработке информации ограниченного доступа. 100% эксплуатируемых государственных информационных систем Московской области имеют аттестат соответствия требованиям безопасности информации. Наличие аттестата позволяет быть уверенным в том, что информация надёжно защищена (в рамках установленных требований). И проактивность здесь кстати: ведь удобно при замене паспорта в связи с изменением фамилии одновременно поменять ещё права и заграничный паспорт!
«Всё будет так. Исхода нет»
Реализовать требования безопасности единоразово, под конкретные аттестационные испытания несложно, а вот в условиях эксплуатации и динамично меняющейся архитектуры системы, её программно-аппаратного обеспечения (например, в рамках импортозамещения) и категорий и (или) количества обрабатываемых персональных данных — уже труднее. Например, сейчас применяются технологии виртуализации и контейнеризации: при увеличении нагрузки системы оркестрации могут автоматически запускать необходимые виртуальные машины или контейнеры, не указанные в техническом паспорте. Или добавились данные для получения государственной услуги, что привело к обработке, например, специальной категории персональных данных.
Беспокоит и то, что базы данных содержат информацию с определённым законодательством сроком хранения. Например, документы по обращениям граждан — 5 лет, далее — уничтожение. Каким образом соблюдается этот срок в реальных условиях? Сложности возникают как в организационно-управленческой сфере, так и в технической. Необходимо внедрение (или разработка) программных продуктов, реализующих механизмы подсчёта сроков хранения и последующего уничтожения персональных данных.
«Умрёшь — начнёшь опять сначала!»
Федеральный закон от 08.08.2024 № 233-ФЗ установил требование для операторов — применять для уничтожения персональных данных только средства защиты информации, которые прошли в установленном порядке процедуру оценки соответствия и в составе которых реализована функция уничтожения информации. Это означает, что ПО, используемое для уничтожения персональных данных, должно стать сертифицированным (по аналогии с ПО для защиты информации). Сейчас такое отдельное сертифицированное ПО найти крайне сложно. Понятно, что можно повторно сертифицировать уже имеющиеся средства защиты информации (в которых предусмотрена возможность удаления данных) и как «ПО, используемое для уничтожения персональных данных». Но, думается, не того хотел законодатель.
А если попробовать обезличить персональные данные?
«И повторится всё, как встарь…»
Федеральный закон от 08.08.2024 № 233-ФЗ по-новому определяет особенности обработки обезличенных персональных данных при формировании составов данных и предоставления доступа к ним. Заместитель министра цифрового развития, связи и массовых коммуникаций РФ А. Шойтов во время беседы с журналистами РИА «Новости» заявлял о создании центра обезличивания. Предполагалось, что полноценный макет, в котором будут реализованы различные варианты исходных данных, создадут на базе Национального технологического центра цифровой криптографии к концу 2024 года. В процессе работы с обезличенными данными есть две ключевые задачи: обеспечить невозможность восстановления исходной личной информации конкретного гражданина по обезличенным данным и сохранение данных в максимально качественном виде для их дальнейшего использования. Возможно, для тестирования работоспособности информационной системы (обрабатывающей персональные данные) до ввода её в эксплуатацию или обучения технологий ИИ.
Не секрет, что основная цель обезличивания — вывод данных из-под действия Федерального закона № 152-ФЗ. Бывает, что уничтожать информацию нельзя и организовать её правильное хранение невозможно (затратно), а обезличенные данные можно хранить и обрабатывать без требуемой законом защиты информации, а также обменивать (продавать) без согласия субъектов. Очень удобно для тестирования новых приложений банков, работающих с огромными пользовательскими массивами данных. Здесь обезличка — в помощь!
«Ночь, ледяная рябь канала…»
С 01.09.2025 вводится обязанность операторов персональных данных по передаче обезличенных сведений в закрытую государственную информационную систему по запросу Министерства цифрового развития, связи и массовых коммуникаций РФ. Состав таких данных, сроки передачи, порядок обезличивания ещё будут определены Правительством РФ совместно с ФСБ России. В дальнейшем доступ в закрытую государственную информационную систему предоставят государственным и муниципальным органам, гражданам России и российскому бизнесу. Очень заманчивая идея: пользоваться готовыми обезличенными данными (надеемся, бесплатно).
«Аптека, улица, фонарь»
Возвращаясь к началу. Важно понимать, что согласия на обработку персональных данных по существу не защищают наши данные, а лишь снимают ответственность с оператора, который их обрабатывает, и ситуация не изменится, даже если давать своё согласие не рукописной, а электронной подписью или отпечатком пальца. Будьте внимательнее, осмотрительнее, бережливее со своими персональными данными. Уважайте и цените свою личную «информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу».
.png)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
