Проверка Роскомнадзора — особенности прохождения проверки
В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании. На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.
Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?
На практике понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.
Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке. Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.
После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных. Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе.
Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты работы вашей компании. В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).
На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.
Проверка Роскомнадзора 2021. План. Что проверяют
Содержание страницы
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная.
Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг. - Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Новые правила проверок Роскомнадзора в области персональных данных
Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных
23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.
Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.
Исключается «техническая сторона» вопросаВ Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В связи с выведением за пределы проверки существенного блока регуляторных требований в части обеспечения безопасности персональных данных в ИСПДн, можно ожидать последующего утверждения соответствующих правил контроля и надзора в данной области, вероятно, с передачей данной компетенции другим контрольно-надзорным органам, например, ФСТЭК России. |
Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:
- осуществляющие сбор биометрических и специальных категорий персональных данных;
- осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
- обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.
Таких операторов теперь смогут проверять чаще – один раз в два года.
Уточняются иные процедурные положения
Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний. Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона. |
Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.
Упразднены внеплановые документарные проверки.
В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.
Срок внеплановой проверки сокращается с 20 до 10 дней.
Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).
О чем подумать, что сделатьКомпаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.
Помощь консультантовСпециалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.
Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.
[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
[2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
Информация о результатах проверки,проведенной Енисейским управлением Роскомнадзора в отношении Администрации ЗАТО г.Зеленогорска по соблюдению законодательства в отношении персональных данных.
Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного общеобразовательного учреждения «Средняя общеобразовательная школа № 176» (далее – МБОУ «СОШ № 176») проведено плановое выездное контрольное мероприятие «Проверка финансово-хозяйственной деятельности МБОУ «СОШ № 176» и соблюдения законодательства Российской Федерации и иных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд».’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении Комитета по управлению имуществом Администрации ЗАТО г. Зеленогорска (далее – КУМИ) проведено плановое выездное контрольное мероприятие «Проверка исполнения бюджетных полномочий по администрированию доходов в части поступления в местный бюджет платы за пользование жилыми помещениями (платы за наем), находящимися в собственности муниципального образования г. Зеленогорск».’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении в отношении Муниципального бюджетного общеобразовательного учреждения «Средняя общеобразовательная школа № 169» (далее – МБОУ «СОШ № 169») проведено плановое выездное контрольное мероприятие «Проверка предоставления и использования субсидий, предоставленных МБОУ «СОШ № 169» за счет средств местного бюджета, и их отражения в бухгалтерском учете и бухгалтерской отчетности, а также проверка соблюдения законодательства Российской Федерации и иных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд»’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении Муниципального казенного учреждения «Комитет по делам культуры и молодежной политики города Зеленогорска» (далее — МКУ «Комитета по делам культуры») проведено внеплановое выездное контрольное мероприятие «Проверка определения объема и условий предоставления из местного бюджета муниципальным бюджетным учреждениям, находящимся в ведении МКУ «Комитета по делам культуры», субсидий на иные цели, не связанные с финансовым обеспечением выполнения муниципального задания на оказание муниципальных услуг (выполнение работ)».’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного учреждения «Молодёжный центр» (далее – МБУ «МЦ») проведена плановая выездная проверка предоставления и использования иных субсидий, предоставленных за счет средств местного бюджета МБУ «МЦ» в 2019 году, и их отражение в бухгалтерском учете и бухгалтерской отчетности.’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казенного учреждения «Служба по делам гражданской обороны и чрезвычайным ситуациям» (далее — МКУ «Служба ГО и ЧС») проведена плановая выездная проверка соблюдения законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд в случаях и в порядке, установленных Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного учреждения дополнительного образования «Детская художественная школа» (далее – МБУ ДО ДХШ) проведено плановое выездное контрольное мероприятие соблюдения законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд в случаях и в порядке, установленных Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» (далее – законодательство о контрактной системе в сфере закупок).’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Отдела городского хозяйства Администрации ЗАТО г. Зеленогорска (далее – Отдел городского хозяйства) проведено плановое выездное контрольное мероприятие «Проверка использования средств субсидии, выделенной в 2019 году в целях возмещения недополученных доходов, возникающих в связи с оказанием услуг по содержанию жилых помещений государственного или муниципального жилищного фонда, в рамках подпрограммы «Жилищно-коммунальное хозяйство и повышение энергетической эффективности в городе Зеленогорске» муниципальной программы «Реформирование и модернизация жилищно-коммунального хозяйства и повышение энергетической эффективности в городе Зеленогорске».’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведено плановое выездное контрольное мероприятие соблюдение Муниципальным бюджетным дошкольным образовательным учреждением «Детский сад комбинированного вида № 32 «Страна чудес» требований законодательства о контрактной системе сфере закупок.’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведено плановое выездное контрольное мероприятие соблюдение Муниципальным бюджетным учреждением «Спортивная школа олимпийского резерва «Старт» (далее – МБУ СШОР «Старт») законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд в случаях и в порядке, установленных Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении муниципального бюджетного учреждения «Спортивный комплекс» проведено плановое выездное контрольное мероприятие «Проверка использования средств, выделенных в 2018-2019 году на текущий ремонт зданий (сооружений) МБУ «Спортивный комплекс» в рамках подпрограммы «Развитие массовой физической культуры и спорта» муниципальной программы «Развитие физической культуры и спорта в городе Зеленогорске»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Отдела городского хозяйства Администрации ЗАТО г. Зеленогорска (далее – Отдел городского хозяйства) проведено плановое выездное контрольное мероприятие «Проверка использования средств субсидии, выделенной в 2018 году в целях возмещения недополученных доходов в связи с оказанием бытовых услуг общих отделений бань в рамках подпрограммы «Жилищно — коммунальное хозяйство и повышение энергетической эффективности в городе Зеленогорске»’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в сентябре 2019 проведено 38 проверок использования по назначению и сохранности муниципального имущества’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в августе 2019 проведено 6 проверок использования по назначению и сохранности муниципального имущества’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в июле 2019 проведено 7 проверок использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведено плановое выездное контрольное мероприятие соблюдения Муниципальным казенным учреждением «Централизованная бухгалтерия» (далее – МКУ «ЦБ») законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд в случаях и в порядке, установленных Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в июне 2019 проведено 6 проверок использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведена плановая проверка соблюдения Муниципальным бюджетным дошкольным образовательным учреждением «Детский сад общеразвивающего вида с приоритетным осуществлением деятельности по социально-личностному развитию детей № 6 «Страна детства» требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд.’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в мае 2019 проведено 3 проверки использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении Муниципального казенного учреждения «Комитет по делам культуры и молодежной политики города Зеленогорска» проведено плановое выездное контрольное мероприятие «Проверка субсидий, выделенных в 2018 году на финансовую поддержку социально ориентированных некоммерческих организаций на реализацию социальных проектов в рамках подпрограммы «Поддержка социально ориентированных некоммерческих организаций города Зеленогорска» муниципальной программы «Гражданское общество — закрытое административно-территориальное образование Зеленогорск»’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в апреле 2019 проведено 4 проверки использования по назначению и сохранности муниципального имущества’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в марте 2019 проведено 22 проверки использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казенного учреждения «Центр учета городских земель» проведено плановое выездное контрольное мероприятие «Проверка финансово-хозяйственной деятельности учреждения».’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в январе, феврале 2019 проведено 7 проверок использования по назначению и сохранности муниципального имущества.’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведено плановое выездное контрольное мероприятие соблюдение Муниципальным казенным учреждением «Центр хозяйственно-эксплуатационного обеспечения» (далее – МКУ «ЦХЭО») законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд в случаях и в порядке, установленных Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведена плановая проверка соблюдения Муниципальным бюджетным общеобразовательным учреждением «Лицей № 174» требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в декабре 2018 проведено 12 проверок использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении Муниципального казенного учреждения «Комитет по делам культуры и молодежной политики города Зеленогорска» (далее – МКУ «Комитет по делам культуры») проведено внеплановое выездное контрольное мероприятие «Проверка порядка формирования и финансового обеспечения муниципального задания на оказание муниципальных услуг (выполнение работ) в отношении муниципальных учреждений»’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в ноябре 2018 проведено 10 проверок использования по назначению и сохранности муниципального имущества’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в октябре 2018 проведено 17 проверок использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении Муниципального бюджетного учреждения культуры «Зеленогорский городской дворец культуры» проведено плановое выездное контрольное мероприятие «Проверка использования бюджетных ассигнований, выделенных на выполнение муниципального задания, достоверности отчётности об исполнении муниципального задания».’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в июле, августе 2018 проведено 9 проверок использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г. Зеленогорска проведена плановая проверка Муниципального бюджетного дошкольного образовательного учреждения «Детский сад № 7 «Мечта»’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в июне 2018 проведено 14 проверок использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведена плановая проверка Муниципального бюджетного дошкольного образовательного учреждения «Детский сад № 16 «Колокольчик»’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении Муниципального бюджетного учреждения «Спортивная школа «Юность» проведено плановое контрольное мероприятие проверка исполнения муниципального задания.’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в мае 2018 проведена 21 проверка использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г. Зеленогорска в отношении МБОУ «Средняя общеобразовательная школа № 161» проведено плановое контрольное мероприятие «Проверка исполнения муниципального задания»’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в апреле 2018 проведена 21 проверка использования по назначению и сохранности муниципального имущества’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казенного учреждения «Муниципальный архив г. Зеленогорска» (далее – МКУ «Архив») проведено плановое контрольное мероприятие «Проверка финансово-хозяйственной деятельности учреждения».’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в марте 2018 проведено 24 проверки использования по назначению и сохранности муниципального имущества’; Комитетом по управлению имуществом Администрации ЗАТО г. Зеленогорска в январе, феврале 2018 проведено 50 проверок использования по назначению и сохранностью муниципального имущества.’; Финансовым управлением Администрации ЗАТО г. Зеленогорска проведена внеплановая проверка в отношении Муниципального казенного учреждения «Центр муниципальных закупок, поддержки предпринимательства и обеспечения деятельности органов местного самоуправления г. Зеленогорска».’; Управлением Россреестра по Красноярскому краю с 07.11.2017 по 29.11.2017 проведена выездная плановая проверка соблюдения Администрацией ЗАТО г. Зеленогорска требований земельного законодательства Российской Федерации, требований законодательства Российской Федерации при предоставлении земельных участков’; Государственной инспекцией труда в Красноярском крае с 13.11.2017 по 08.12.2017 проведена плановая, выездная проверка соблюдения Администрацией ЗАТО г. Зеленогорска законодательства Российской Федерации о труде и охране труда.’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Комитета по управлению имуществом Администрации ЗАТО г. Зеленогорска проведена внеплановая проверка соблюдения требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг при обосновании начальной (максимальной) цены контракта для проведения открытого конкурса «Оказание услуг по обязательному страхованию гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте (Гидротехническое сооружение)» (извещение № 0819300038017000242)’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казённого учреждения «Служба единого заказчика-застройщика» проведена внеплановая проверка соблюдения требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг при исполнении муниципального контракта № 0819300038016000156-0153203-02 от 19.09.2016, в части достоверности информации, размещённой в единой информационной системе в сфере закупок, а также в части соответствия поставленного товара, выполненной работы (её результата) или оказанной услуги условиям контракта’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казённого учреждения «Служба единого заказчика-застройщика» проведена внеплановая проверка соблюдения требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг при исполнении муниципального контракта № 0819300038017000045-0153203-03 от 07.06.2017.’; Информация о проведенных в Администрации ЗАТО г. Зеленогорска проверках’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного общеобразовательного учреждения «Средняя общеобразовательная школа № 167» (далее – МБОУ «СОШ № 167») проведена плановая проверка соблюдения требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного учреждения дополнительного образования «Центр образования «Перспектива» проведена плановая проверка соблюдения требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казённого учреждения «Комитет по охране окружающей среды» (далее – МКУ «КООС») проведено плановое контрольное мероприятие «Соблюдение бюджетного законодательства Российской Федерации и иных нормативных и правовых актов, регулирующих бюджетные правоотношения, и законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного общеобразовательного учреждения «Средняя общеобразовательная школа № 175» проведена проверка «Соблюдение законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Администрации закрытого административно — территориального образования города Зеленогорска (далее – Администрация ЗАТО г. Зеленогорска) проведена внеплановая проверка соблюдения условий, целей и порядка предоставления субсидий субъектам малого и среднего предпринимательства в рамках реализации муниципальной программы «Развитие малого и среднего предпринимательства в городе Зеленогорске на 2014-2017 годы»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного учреждения дополнительного образования «Центр экологии, краеведения и туризма» (далее – МБУ ДО «ЦЭКиТ») проведено плановое контрольное мероприятие «Соблюдение бюджетного законодательства Российской Федерации и иных нормативных и правовых актов, регулирующих бюджетные правоотношения, и законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного дошкольного образовательного учреждения МБДОУ д/с № 29 проведено плановое контрольное мероприятие «Соблюдение бюджетного законодательства Российской Федерации и иных нормативных и правовых актов, регулирующих бюджетные правоотношения, и законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального бюджетного дошкольного образовательного учреждения «Детский сад общеразвивающего вида с приоритетным осуществлением деятельности по физическому развитию детей № 26 «Эрудит» проведено плановое контрольное мероприятие’; Финансовым управлением Администрации ЗАТО г.Зеленогорска в отношении Муниципального казённого учреждения «Служба по делам гражданской обороны и чрезвычайным ситуациям» проведено плановое контрольное мероприятие «Соблюдение бюджетного законодательства Российской Федерации и иных нормативных и правовых актов, регулирующих бюджетные правоотношения, и законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг’; Федеральным Медико-Биологическим Агентством Межрегионального управления № 42 ФМБА России на основании Распоряжения от 21.03.2016г. № 9пв «О проведении плановой выездной проверки юридического лица» в отношении Муниципального бюджетного учреждения «Комплексный центр социального обслуживания населения г. Зеленогорска» в части соблюдения обязательных требований санитарного законодательства’; Министерством Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий отделом ФГПН ФГКУ «Специальным управлением ФПС № 19 МЧС России» на основании Распоряжения от 29.03.2016г. № 40 «О проведении плановой, выездной проверки юридического лица» в отношении Муниципального бюджетного учреждения «Комплексный центр социального обслуживания населения г. Зеленогорска» в части соблюдения требований пожарной безопасности’; Финансовым управлением Администрации ЗАТО г. Зеленогорска проведена в отношении Отдела городского хозяйства Администрации ЗАТО г. Зеленогорска плановая проверка целевого использования средств местного бюджета, выделенных в 2015 году на содержание автомобильных дорог общего пользования’; Инспекцией Финансового управления Администрации ЗАТО г.Зеленогорска проведена плановая проверка соблюдения Муниципальным бюджетным общеобразовательным учреждением «Средняя общеобразовательная школа № 172» требований законодательства Российской Федерации’; Инспекцией Финансового управления Администрации ЗАТО г.Зеленогорска проведена проверка соблюдения Муниципальным бюджетным общеобразовательным учреждением «Средняя общеобразовательная школа № 169» требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведена в отношении Администрации закрытого административно — территориального образования города Зеленогорска плановая проверка целевого использования средств местного бюджета, выделенных на реализацию мероприятий муниципальной программы «Развитие малого и среднего предпринимательства в городе Зеленогорске на 2014-2017 годы»’; Финансовым управлением Администрации ЗАТО г.Зеленогорска проведена в отношении Администрации закрытого административно — территориального образования города Зеленогорска плановая проверка целевого использования средств местного бюджета, выделенных в 2014-2015 годах на предоставление субсидии в целях возмещения затрат, связанных с производством (реализацией) продукции средств массовой информации, публикующих официальную информацию о деятельности органов местного самоуправления ЗАТО г. Зеленогорска’; Инспекцией Финансового управления Администрации ЗАТО г.Зеленогорска проведена внеплановая проверка МБ ДОУ «Детский сад общеразвивающего вида с приоритетным осуществлением деятельности по художественно-эстетическому развитию детей №19 «Светлячок»’; Инспекцией Финансового управления Администрации ЗАТО г.Зеленогорска проведена внеплановая проверка соблюдения Муниципальным казённым учреждением «Служба единого заказчика-застройщика»’; Инспекцией Финансового управления Администрации ЗАТО г.Зеленогорска проведена внеплановая проверка соблюдения Муниципальным бюджетным дошкольным образовательным учреждением «Детский сад комбинированного вида № 18 «Сказка» требований законодательства Российской Федерации и иных нормативных правовых актов Российской Федерации о контрактной системе в сфере закупок при заключении договора подряда от 24.09.2015 № 43/09′; Инспекцией Финансового управления Администрации ЗАТО г. Зеленогорска проведена плановая проверка соблюдения Муниципальным бюджетным учреждением культуры «Центр культуры» требований законодательства Российской Федерации и иных нормативных правовых актов о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки МКУ «Природный зоологический парк»’; Информация о результатах проверки, проведенной Счетной палатой ЗАТО г. Зеленогорска Красноярского края в отношении МБУ «Комплексный центр социального обслуживания населения»’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки Управления образования Администрации ЗАТО г. Зеленогорска’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах плановой проверки МКУ «Комитет по делам физической культуры и здравоохранения города Зеленогорска»‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах плановой проверки МБОУ «Средняя общеобразовательная школа №163»’; Информация о результатах проверки бюджетной отчетности за 2014 год, проведенной Счетной палатой ЗАТО г. Зеленогорска в марте 2015 г. в отношении Управления социальной защиты населения Администрации ЗАТО г. Зеленогорска’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах плановой проверки МБОУ «Средняя общеобразовательная школа №161»’; Информация о результатах проверки, проведенной Федеральной службой по экологическому, технологическому и атомному надзору в части соблюдения требований в области энергосбережения и повышения энергетической эффективности’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки в Отделе городского хозяйства Администрации ЗАТО г. Зеленогорска’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки МКУ «Центр обеспечения деятельности образовательных учреждений»‘; Информация о результатах проверки, проведенной Территориальным органом Росздравнадзора по Красноярскому краю в отношении Управления социальной защиты населения Администрации ЗАТО г. Зеленогорска’; Информация о внеплановой проверке соблюдения законодательства УСЗН Администрации ЗАТО г. Зеленогорска о контрактной системе в сфере закупок’; Информация о результатах проверки, проведенной ОГПН ФГКУ «Специальное управление ФПС № 19 МЧС России» в отношении Управления социальной защиты населения Администрации ЗАТО г. Зеленогорска»‘; Информация МКУ «Комитет по делам культуры и молодежной политики г.Зеленогорска» о проведенной проверке целевого использования бюджетных средств, выделенных МБУК «Дом культуры «Искра»‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о плановой проверке МБОУ ДОД «Специализированная детско-юношеская школа олимпийского резерва «Олимп»‘; Информация о результатах проверки УСЗН Администрации ЗАТО г. Зеленогорска, проведенной Территориальным управлением Федеральной службы финансового-бюджетного надзора в Красноярском крае’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о плановой проверке МБУ «Спортивный комплекс»‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о плановой проверке МБОУ » Средняя общеобразовательная школа № 170″‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о проверке целевого использования иных субсидий, выделенных Управлению образования в 2013 году’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки целевого использования иных субсидий, выделенных в 2013 году Управлению образования’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о внеплановой проверке целевого использования иных субсидий, выделенных в 2013 году МБОУ ДОД «Центр дополнительного образования детей «Перспектива»‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки целевого использования бюджетных средств, выделенных МКУ «Городской методический центр»‘; Информация о результатах проверки, проведенной Министерством здравоохранения Красноярского края в части соблюдения МБУ «Центр соцобслуживания» требований законодательства в сфере лицензирования’; Информация о результатах проверки МБУ «Центр соцобслуживания», проведенной службой финансово-экономического контроля и контроля в сфере закупок Красноярского края’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о плановой проверке использования бюджетных средств в МКУ «Муниципальный архив города Зеленогорска»‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о проверке использования бюджетных средств в Управлении образования’; Информация МКУ «Комитет по делам культуры» о проверке целевого использования бюджетных средств в МБУ «Зеленогорский музейно-выставочный центр»‘; Информация МКУ «Комитет по делам культуры» о проверке целевого использования бюджетных средств в МБУ «Центр культуры»‘; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах плановой проверки соблюдения МБОУ ДОД «Центр дополнительного образования детей «Перспектива» требований законодательства РФ о размещении заказов’; Информация Финансового управления Администрации ЗАТО г.Зеленогорска о результатах проверки МБОУ ДОД «Центр дополнительного образования детей «Витязь»‘; Информация Финансового управления Администрации ЗАТО г.Зеленогорска о результатах плановой проверки использования бюджетных средств в МКУ «Комитет по охране окружающей среды»‘; Информация о результатах проверки,проведенной Енисейским управлением Роскомнадзора в отношении Администрации ЗАТО г.Зеленогорска по соблюдению законодательства в отношении персональных данных.’; Информация о результатах проверки, проведенной Региональным управлением № 42 ФМБА России, в отношении МБУ «Центр соцобслуживания»‘; Информация о результатах проверки, проведенной Енисейским управлением Роскомнадзора в отношении Управления социальной защиты населения Администрации ЗАТО г. Зеленогорска’; Информация о результатах антикоррупционного мониторинга в органах местного самоуправления г. Зеленогорска’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки МКУ «Служба ГО и ЧС»‘; Информация о результатах проверки УСЗН, проведенной Региональным управлением № 42 ФМБА России’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах внеплановой проверки использования бюджетных средств в МБУ «Молодёжный центр»’; Информация Финансового управления Администрации ЗАТО г. Зеленогорска о результатах проверки МБОУ «СОШ № 163»’;
особенности для юр. лиц и ИП
Главное направление контроля Роскомнадзора – соблюдение компаниями законов о сборе, обработке и хранении персональной информации. Назначить проверку могут планово или по жалобе. В любом случае юр. лицо или предпринимателя обязаны предупредить о предстоящем мероприятии и дать время на подготовку документов. По окончании выездной или документарной проверки выдают акт с указанием нарушений и сроков их исправления. Компания имеет право обжаловать решение надзорного органа в течение 15 дней.
Роскомнадзор проводит проверку организаций на выполнение ими законов в области обработки персональных данных и СМИ. Такие мероприятия проходят не чаще одного раза в 3 года, если не существует оснований для внепланового контроля. Такой срок позволяет подготовиться к предстоящему мониторингу.
Функции
Федеральная служба по надзору в области связи и информационных технологий отвечает за:
- Контроль соблюдения нормативных актов, касающихся СМИ, интернет-пространства, информационных коммуникаций.
- Надзор в сфере качества оказания услуг связи.
- Регистрацию средств массовой информации.
- Ведение баз данных и реестров компаний – операторов связи.
- Защиту секретных данных.
- Проведение проверок в области информационных технологий.
Роскомнадзор проводит плановые и внеплановые мероприятия. О первых руководству организаций сообщают заранее – за 3 дня до мониторинга направляют уведомление с указанием времени проверки.
Полезная ссылка: плановое расписание также можно уточнить на сайте https://rkn.gov.ru/plan-and-reports/.
Второй вид контроля используют при наличии жалоб на компанию. Чаще всего недовольство вызывают регулярные звонки из фирмы с предложениями услуг. О внеплановых мероприятиях Роскомнадзор предупреждает за одни сутки.
Проверки проводятся двумя способами:
- Документарно. В этом случае в компанию поступает запрос, по которому в ведомство нужно предоставить определенный перечень документов. Получив такой запрос, стоит подготовить и передать в государственную службу копии указанных бумаг.
- С выездом. Такие проверки проходят в компании. Инспекторы сами посещают организацию и просматривают документы на месте.
После получения уведомления о планируемой проверке времени на подготовку к ней остается мало. Поэтому лучше заранее позаботиться об этом вопросе.
Узнайте, как будет работать единый реестр проверок бизнеса.
Что нужно подготовить к проверке
Федеральная служба проводит мониторинг работы операторов персональных данных. Она проверяет все организации, которые собирают и обрабатывают личные данные сотрудников, клиентов и других лиц.
Сбор личных сведений через интернет также подлежит контролю.
Источник: freepik.com/cookie-studio
В процессе мониторинга проверяют:
- бумаги, содержащие личные данные, и условия их хранения;
- информационные системы, с помощью которых эти данные обрабатываются;
- внутренние нормативные акты, относящиеся к сфере контроля службы;
- информационные ресурсы компании.
Точного списка необходимых документов не существует. Но обычно сотрудники службы запрашивают:
- учредительные бумаги;
- приказы о допуске сотрудников к личным данным;
- инструкции для таких сотрудников;
- согласия на обработку личных данных;
- журналы учета и инструктажей;
- документы, в которых определен порядок сбора, учета, хранения и уничтожения персональной информации.
Права проверяющих лиц определены в правилах, утвержденных постановлением Правительства № 146 от 13.02.2019. В соответствии с документом, работодатели обязаны предоставить сотрудникам службы запрашиваемые бумаги и обеспечить доступ к устройствам, с помощью которых обрабатываются личные данные.
В тему! Что делать, если налоговики запрашивают сведения о персональных данных сотрудников.
Процедура мониторинга
Стандартная процедура проверки организации выглядит следующим образом:
- В компанию направляют уведомление о предстоящем мероприятии. В нем указывается период мониторинга и данные приказа о проведении проверки.
- Затем в организацию направляется запрос на предоставление определенных документов. Подготовить все запрашиваемые бумаги и ответить на запрос нужно в срок до 10 дней после его получения.
- При обнаружении недочетов и возникновении вопросов федеральная служба назначает выездную проверку.
При выездном контроле деятельности организации фирму посещают как минимум два инспектора. Перед тем, как потребовать доступ к информации, сотрудники госорганов должны показать удостоверение и копию приказа, в соответствии с которым проводится мероприятие.
Результаты мониторинга
По результатам мониторинга Роскомнадзор подготавливает акт. В нем указывают все обнаруженные нарушения и применяемые меры ответственности. Эту бумагу подписывает представитель компании, в которой проходила проверка.
Нет, это подписывать не будем.
Источник: freepik.com/wayhomestudio
Если сотрудник организации отказывается ставить свою подпись, акт направляют в фирму письмом с уведомлением, которое подтверждает его получение.
На основании составленного акта федеральная служба выписывает предписание об исправлении недостатков и протокол об ответственности за нарушение.
Решение проверяющей организации можно оспорить. Свое возражение нужно подать в срок до 15 дней после получения акта. Оно направляется в территориальную службу Роскомнадзора вместе с документами, подтверждающими его обоснованность, и свидетельскими показаниями.
Оспорить можно любую проверку, которая была проведена с нарушением:
- отсутствовали основания для проведения контрольных мероприятий;
- эксперты, участвовавшие в мониторинге, не имели специального аккредитования;
- не соблюдались сроки уведомления о планирующейся проверке;
- не была выдержана установленная длительность мониторинга;
- не был предоставлен итоговый акт о проведенной процедуре.
Жалоба, направленная на рассмотрение в Роскомнадзор, должна быть рассмотрена в течение 30 суток.
Длительность проверки
Срок контрольных мероприятий составляет 20 рабочих дней. В исключительных случаях он может продляться еще на один такой же период. Но для этого должны быть веские основания.
Плановые проверки выездного характера длятся не более 50 часов, если контролю подвергается крупная организация. Компании со штатом сотрудников до 15 человек должны проверяться не более 15 часов.
Актуально! Как обжаловать результаты проверки трудовой инспекции.
Особенности подготовки к мониторингу
Для качественной подготовки к проверочным мероприятиям лучше всего назначить ответственного сотрудника или нанять стороннего специалиста. Это связано с большим объемом исследуемой документации и необходимостью сосредоточиться на этой работе.
ИП вынужден сам готовиться к проверке.
Источник: freepik.com/kamranaydinov
Обычно эту функцию в компаниях выполняют бухгалтер, специалист по кадрам или юрист. В крупных организациях этим занимается целый отдел. Контролирует эту деятельность руководитель предприятия.
Алгоритм действий по подготовке может быть следующим:
- Проверка наличия уведомления о работе с личными данными. Такая бумага направляется в Роскомнадзор перед началом сбора и обработки информации.
- Проверка наличия и актуальности следующих бумаг: политики компании по работе с персональными данными, положения по обработке информации, приказа о допуске сотрудников к таким данным.
- Анализ системы хранения документов, порядка доступа к ним.
- Исследование системы безопасности.
Стоит учесть, что главный документ – Политику по работе с данными, необходимо разместить в общественном доступе: на информационном стенде, если есть сайт – опубликовать на нем.
Вывод
Проверка Роскомнадзора является мероприятием, к которому следует быть готовым всем организациям, осуществляющим сбор, обработку и хранение персональной информации. Для успешного прохождения мониторинга в каждой компании должны вестись соответствующие документы и обеспечиваться ограничение доступа к личным данным.
Статьи — ИСПДн.инфо — защита персональных данных
Прошлый год нам запомнился пандемией, локдауном и самоизоляцией. В этой связи Роскомнадзор с середины марта отменил свои плановые проверки. Но это не значит, что в плане защиты персональных данных не было интересных событий в 2020 году.
Выделим самые важные новости:
Теги: аналитика
Мы уже привыкли указывать свои персональные данные в соцсетях, в интернет-магазинах, порталах для получения госуслуг и зачастую достаточно халатно относимся к распространению своих данных. Хотя мы должны задуматься, что будет с нашими данными после того, как нам окажут услугу или привезут товар. Ведь никто не хочет, чтобы его данные попали в руки мошенников или навязчивых рекламных агентов. Поэтому нужно проявлять бдительность и избирательность в вопросах передачи своих персональных данных.
Теги: ПДн 152-ФЗ
Прошло уже больше 10 лет, как действует закон «О персональных данных». И как бы это абсурдно не звучало, но до сих пор нет четких границ того, что можно отнести к персональным данным.
Конечно, в первую очередь, нужно обратиться к 152-ФЗ, в котором есть определение:
«персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»
Теги: персональные данные, закон, как выполнить требования
13 Февраля 2019 года вышло Постановление Правительства Российской Федерации № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных». Данное постановление устанавливает правила проведения мероприятий контроля и проверок Роскомнадзором организаций операторов персональных данных и права регулятора в рамках этих мероприятий.
Выделим основные моменты Постановления:
Теги: ПДн, аналитика
Выполнение требований 152-ФЗ «О персональных данных» – это не пакет документов и не технические средства защиты, а непрерывный процесс, требующий вовлеченности всех сотрудников организации.
С каждым днем в мире увеличивается ценность персональных данных. Если 10 лет назад главным трендом в бизнесе было освоение Интернета, то сейчас для бизнеса задача номер один – это сбор и управление данными, чтобы лучше понимать свою аудиторию и непрерывно адаптировать свои предложения для нее. Джек Ма, основатель интернет-гиганта Alibaba сказал: «Я не понимаю, как сегодня можно зарабатывать деньги без данных. Они чрезвычайно важны для развития общества. В будущем данные будут стоить, как нефть, и мы должны учитывать это уже сейчас».
Сейчас наверное нет тех, кто хотя бы «краем уха» не слышал про персональные данные и то, что юридическим лицам необходимо каким то образом их защищать.
Теги: ЗПДн аналитика
Пример заполнения акта классификации информационной системы персональных данных, с учетом требований Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Теги: ИСПДн документы
Роскомнадзор на своем сайте наконец-то дал разъяснения, которые касаются сложных моментов при обработке персональных данных. Теперь вопросы, которые касаются обработки персональных данных работников и соискателей имеют официальное разъяснение.
Теги: ПДн Роскомнадзор
Процесс обработки персональной информации каждого гражданина регулируется ФЗ за № 152 «О персональных данных». Принят этот закон был с целью гарантировать защиту свобод и прав граждан легальными способами при обработке его личных сведений, в том числе гарантия неприкосновенности частной жизни гражданина, его личной и семейной тайны. Под персональными данными понимаются любые сведения, относящиеся прямым или косвенным образом к определенному (определяемому) физическому лицу, которое называется субъектом. Среди таких данных: ФИО, адреса места проживания и электронной почты, контактные номера телефонов, семейное положение, вероисповедание и т. д. Каждая организация, владеющая подобными сведениями, должна защитить информационные системы, где хранятся вышеупомянутые сведения.
Теги: 152-ФЗ ответственность требования проверки
Летом 2011 года был подписан Президентом РФ, опубликован и вступил в силу Закон о внесении изменений в ФЗ «О защите персональных данных». Впервые он был издан в 2006 году, и уже тогда вызывал множество споров и дискуссий, а теперь претерпел значительные поправки, которые были ориентированы на упрощение некоторых процедур, объяснение спорных моментов и снятие противоречивых положений. Однако проблемы реализации данного закона, в особенности у операторов, ограниченных материально и не обеспеченных необходимыми кадрами, остаются. В первую очередь мы говорим о среднем и малом бизнесе.
Теги: 152-ФЗ практика ЗПДн
Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?
В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.
Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.
При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:
ФИО;
дата рождения;
паспортные данные;
адрес места регистрации и/или проживания;
контактная информация;
номер ИНН;
номер СНИЛС;
номер банковской карты и/или лицевого счета.
Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.
Что первым проверит Роскомнадзор?Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.
Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.
Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.- Акт установления уровня защищенности информационных систем персональных данных.
- Акт классификации государственной информационной системы или муниципальной информационной системы.
- Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
- Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
- Журнал регистрации инцидентов информационной безопасности.
- Заключение об оценке вреда субъектам персональных данных.
- Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
- Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
- Инструкция по учёту машинных носителей и регистрации их выдачи.
- Модель угроз.
- Отзыв согласия субъекта персональных данных.
- Перечень информационных систем персональных данных.
- Перечень мероприятий по защите персональных данных.
- План внутренних проверок состояния защиты персональных данных.
- Политика обработки персональных данных.
- Положение об ответственном за организацию обработки персональных данных.
- Положение о порядке обработки персональных данных.
- Положение по работе с инцидентами информационной безопасности.
- Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
- Приказ «О журнале учета посетителей».
- Приказ «О журнале регистрации инцидентов информационной безопасности».
- Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
- Приказ «О назначении ответственного за организацию обработки персональных данных».
- Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
- Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
- Приказ «Об организации мероприятий по защите персональных данных».
- Приказ «Об ответственности за обработку и защиту персональных данных».
- Приказ «Об установлении границ контролируемой зоны объектов информатизации».
- Приказ «Об утверждении мест хранения материальных носителей персональных данных».
- Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
- Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
- Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
- Приказ «Об утверждении форм актов уничтожения персональных данных».
- Приказ «Об утверждении форм согласий на обработку персональных данных».
- Приказ «Об утверждении типовой формы поручения обработки персональных данных».
- Типовая форма поручения обработки персональных данных.
- Уведомление об обработке персональных данных.
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?Скачать чек-лист
Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.
Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.
Россия: Роскомнадзор опубликовал результаты необъявленных проверок | Новостной пост
Страна (необязательно)Страна (Необязательно) AfghanistanÅland IslandsAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBolivia, многонациональное государство ofBonaire, Синт-Эстатиус и SabaBosnia и HerzegovinaBotswanaBouvet IslandBrazilBritish Индийский океан TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral африканских RepublicChadChileChinaChristmas IslandCocos (Килинг) IslandsColombiaComorosCongoCongo, Демократическая Республика theCook IslandsCosta RicaCôte d’IvoireCroatiaCubaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland Острова (Мальвинские) Фарерские островаФиджиФинляндияФранцияФранцузская ГвианаФранцузская ПолинезияФранцузские Южные территорииГабонГамбияГрузияГерманияГанаГибралтарГрецияГренландияГренадаГваделупаГуамГватемалаГернсиГвинеяГвинея-Бис Остров sauGuyanaHaitiHeard и McDonald IslandsHoly Престол (Ватикан) HondurasHong KongHungaryIcelandIndiaIndonesiaIran, Исламская Республика ofIraqIrelandIsle из ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Корейская Народно-Демократическая Республика ofKorea, Республика ofKuwaitKyrgyzstanLao Народная Демократическая RepublicLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedonia, бывшая югославская Республика ofMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Федеративные Штаты ofMoldova, Республика ofMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern Mariana IslandsNorwayOmanPakistanPalauPalestinian край , ОккупированнаяПанамаПапуа-Новая ГвинеяПарагвайПеруФилиппиныПиткэрнПольшаПортугалияПуэрто-РикоКатарРеюньонРумынияРоссийская ФедерацияРуандаСент-БартелемиСвятая Елена, Вознесение и Тристан-да-КуньяS Эйнт Киттс и NevisSaint LuciaSaint Мартин (французская часть) Сен-Пьер и MiquelonSaint Винсент и GrenadinesSamoaSan MarinoSao Томе и PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra LeoneSingaporeSint Маартен (Голландская часть) SlovakiaSloveniaSolomon IslandsSomaliaSouth AfricaSouth Джорджия и Южные Сандвичевы IslandsSouth SudanSpainSri LankaSudanSurinameSvalbard и Ян MayenSwazilandSwedenSwitzerlandSyrian Arab RepublicTaiwan, провинция ChinaTajikistanTanzania, Объединенная РеспубликаТаиландТимор-ЛештиТогоТокелауТонгаТринидад и ТобагоТунисТурцияТуркменистанТуркс и острова КайкосТувалуУгандаУкраинаОбъединенные Арабские ЭмиратыВеликобританияСоединенные ШтатыМалые Острова Соединенных ШтатовВнешние острова УругвайУзбекистан, Британские острова, ВенуэлаС.Уоллис и Футуна, Западная Сахара, Йемен, Замбия, Зимбабве,
.Россия: Роскомнадзор объявляет об утверждении правил проверки операторов процессинга | Новостной пост
Страна (необязательно)Страна (Необязательно) AfghanistanÅland IslandsAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBolivia, многонациональное государство ofBonaire, Синт-Эстатиус и SabaBosnia и HerzegovinaBotswanaBouvet IslandBrazilBritish Индийский океан TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral африканских RepublicChadChileChinaChristmas IslandCocos (Килинг) IslandsColombiaComorosCongoCongo, Демократическая Республика theCook IslandsCosta RicaCôte d’IvoireCroatiaCubaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland Острова (Мальвинские) Фарерские островаФиджиФинляндияФранцияФранцузская ГвианаФранцузская ПолинезияФранцузские Южные территорииГабонГамбияГрузияГерманияГанаГибралтарГрецияГренландияГренадаГваделупаГуамГватемалаГернсиГвинеяГвинея-Бис Остров sauGuyanaHaitiHeard и McDonald IslandsHoly Престол (Ватикан) HondurasHong KongHungaryIcelandIndiaIndonesiaIran, Исламская Республика ofIraqIrelandIsle из ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Корейская Народно-Демократическая Республика ofKorea, Республика ofKuwaitKyrgyzstanLao Народная Демократическая RepublicLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedonia, бывшая югославская Республика ofMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Федеративные Штаты ofMoldova, Республика ofMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern Mariana IslandsNorwayOmanPakistanPalauPalestinian край , ОккупированнаяПанамаПапуа-Новая ГвинеяПарагвайПеруФилиппиныПиткэрнПольшаПортугалияПуэрто-РикоКатарРеюньонРумынияРоссийская ФедерацияРуандаСент-БартелемиСвятая Елена, Вознесение и Тристан-да-КуньяS Эйнт Киттс и NevisSaint LuciaSaint Мартин (французская часть) Сен-Пьер и MiquelonSaint Винсент и GrenadinesSamoaSan MarinoSao Томе и PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra LeoneSingaporeSint Маартен (Голландская часть) SlovakiaSloveniaSolomon IslandsSomaliaSouth AfricaSouth Джорджия и Южные Сандвичевы IslandsSouth SudanSpainSri LankaSudanSurinameSvalbard и Ян MayenSwazilandSwedenSwitzerlandSyrian Arab RepublicTaiwan, провинция ChinaTajikistanTanzania, Объединенная РеспубликаТаиландТимор-ЛештиТогоТокелауТонгаТринидад и ТобагоТунисТурцияТуркменистанТуркс и острова КайкосТувалуУгандаУкраинаОбъединенные Арабские ЭмиратыВеликобританияСоединенные ШтатыМалые Острова Соединенных ШтатовВнешние острова УругвайУзбекистан, Британские острова, ВенуэлаС.Уоллис и Футуна, Западная Сахара, Йемен, Замбия, Зимбабве,
.Суверенный рунет полностью вниз
DPI система для фильтрации трафика обнаруженаВ конце 2018 года российские законодатели внесли законопроект, получивший название «суверенный рунет» из-за попытки оградить российский сегмент Интернета от внешних угроз. Среди прочего, закон требует, чтобы все операторы сетей России установили специальные технические меры по противодействию угрозам.В документе не уточнялось, какие «технические меры» следует использовать операторам, но было очевидно, что законодатели имели в виду систему глубокой проверки пакетов (DPI).
Первое чтение законопроекта в Госдуме (всего их три) прошло в середине февраля. Несмотря на то, что его раскритиковали за невысокую финансовую обоснованность (сначала заявили, что не будут тратить деньги из федерального бюджета, а потом выяснилось, что потребовалось 30 млрд рублей) и неоднозначную формулировку киберугроз, депутаты подавляющим большинством проголосовали за. его и потребовали доработки для второго чтения.Второе чтение должно было состояться в конце марта, но до сих пор законодатели не предприняли никаких шагов. Между тем, российские СМИ раскрыли некоторые подготовительные меры, предпринятые Роскомнадзором.
Российские СМИ сообщили, что операторам связи «большой четверки» в стране было предложено протестировать новую систему DPI в своих сетях в региональном масштабе. Роскомнадзор хотел, чтобы компании протестировали DPI, чтобы подготовиться к реализации закона о суверенном рунете.Ссылаясь на источники в телеком-индустрии, российские СМИ РБК заявляют, что в рамках проверки Роскомнадзор хочет выяснить, может ли система DPI фильтровать контент из своего реестра запрещенных ресурсов, особенно мессенджера Telegram. Другая цель — проверить приоритизацию трафика, чтобы можно было снизить скорость доступа к определенным сервисам, таким как YouTube.
Изменение стоимости хранения данных
Таким образом, дебаты о сетевом нейтралитете в России переходят в практическую сторону, а не в юридические дискуссии.В начале 2018 года Союз СМИ и коммуникаций, объединяющий крупнейших операторов связи и медиахолдинги России, лоббировал отмену сетевого нейтралитета в «Инфокоммуникационном кодексе» — новом проекте, предложенном Союзом медиа и коммуникаций, который должен заменить существующие законы в области информационных технологий и связи. Глава Ростелекома (крупнейшего государственного оператора) оправдал такую меру, отметив, что предложенный закон позволит переложить часть затрат на хранение контента в течение 6 месяцев на иностранные интернет-компании, такие как Google и Facebook, а не Российские операторы связи.Российский закон о хранении данных, известный как «пакет Яровой», требует, чтобы все поставщики услуг хранили содержание голосовых вызовов, данных, изображений и текстовых сообщений в течение 6 месяцев, а метаданные сообщений — в течение 3 лет [1]. Предлагаемый Кодекс инфокоммуникаций потребует, чтобы Google и Facebook платили операторам за покрытие расходов на хранение их контента. Если они откажутся, операторы смогут снизить скорость доступа абонентов к услугам этих компаний. Российская ассоциация электронных коммуникаций, представляющая более 150 компаний в цифровой экономике, отступила.Они считают, что отмена сетевого нейтралитета нанесет ущерб конкуренции и приведет к монополизации российского рынка несколькими крупными игроками. Ассоциация также выступает против системы DPI, которую настаивает Роскомнадзор, поскольку ее можно использовать для приоритизации трафика. [2]
Кто получает выгоду и кто платит?
А теперь стало известно, кто предоставит систему DPI для общегосударственного тестирования. Российская компания RDP.RU была выбрана Роскомнадзором, ФСБ и Минкомсвязи после закрытого конкурса с другими компаниями DPI еще в августе 2018 года.Совладелец RDP.RU признал, что его компания показала лучшие результаты в тестах, и он не удивлен, что его продукт будет тестироваться в более широком масштабе. Источник российских новостей «Ведомости» со ссылкой на неназванного чиновника пояснил, что после принятия законопроекта о суверенном рунете провайдеры будут обязаны устанавливать оборудование от RDP.RU. В правительстве считают, что DPI позволит блокировать отдельные сайты и сервисы, не нанося вреда другим ресурсам.Однако в ходе тестов в августе 2018 года было признано, что невозможно заблокировать определенные протоколы, используемые Telegram и другими мессенджерами, поскольку это привело к нарушению работы банковских приложений и связанных с ними сервисов. Теперь, спустя всего полгода, маловероятно, что RDP.RU значительно улучшил свой DPI.
В целом, российское техническое сообщество отреагировало на требование Роскомнадзора скептически. Хотя DPI может решать определенные задачи в небольших сетях, практически невозможно фильтровать весь трафик в общенациональном масштабе.Такое оборудование было бы дорого и значительно замедлило бы движение. Еще одна проблема DPI — это его неспособность со 100% точностью различать пакеты трафика. Ресурсы могут маскировать свои пакеты сигнатурами «законного» ресурса, а также проходить через VPN. Наиболее распространено мнение, что развертывание системы DPI — это еще один случай, когда Роскомнадзору необходимо израсходовать все свои бюджетные ассигнования к определенной дате. В этих условиях небольшая группа компаний, тесно связанных с государством, получит заоблачные доходы от разработки и продажи оборудования DPI.Примечательно, что собственный венчурный фонд «Ростелекома» владеет 15% RDP.RU. Согласно действующему законопроекту, Роскомнадзор предоставит оборудование на безвозмездной основе. В обновленном официальном описании федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика» появился новый раздел со списком проектов общей стоимостью 50 миллиардов рублей (765 миллионов долларов США). Большинство из них связаны с реализацией мер по мониторингу и контролю за рунетом. Закупка оборудования, предназначенного для обеспечения безопасности «российского сегмента» Интернета, оценивается в 20 единиц.8 миллиардов рублей (318 миллионов долларов США). Это расходы на систему DPI, которую сейчас тестирует Роскомнадзор?
Таким образом, даже если оборудование RPD.RU пройдет проверку в сетях крупных операторов, и возможный закон о суверенном рунете обяжет их установить оборудование DPI, вопрос о том, кто в конечном итоге за все это заплатит, остается открытым. Нет никаких гарантий, что во втором и третьем чтении законопроект по-прежнему будет предоставлять операторам сети бесплатное оборудование.
VPN находятся под давлениемДля дальнейшей подготовки к развертыванию DPI Роскомнадзор начал оказывать давление на владельцев VPN.Примечательно, что в 2017 году вступил в силу закон, запрещающий использование VPN-сервисов и анонимайзеров для доступа к информации, запрещенной в России. Провайдеры, поисковые системы и владельцы анонимайзеров должны подключаться к FGIS (федеральная государственная информационная система, управляемая Роскомнадзором, которая содержит реестр запрещенных ресурсов в России) и «обеспечить соблюдение запрета, предоставить возможность использования на территории Российской Федерации программ и других технических средств для получения доступа к запрещенным сайтам.«Если анонимайзеры, в том числе владельцы VPN, откажутся подключаться к ФГИС, Роскомнадзор имеет право их заблокировать. Интересно, что Роскомнадзор может отправить запрос на подключение к ФГИС VPN-сервисам только после запроса правоохранительных органов, а в последние годы такого уведомления не было. Однако соблюдать закон было сложно: Роскомнадзор не уточнил, как он будет различать VPN для коммерческого и частного использования, и у него не было технической возможности проверить, предоставляют ли анонимайзеры доступ к запрещенным ресурсам или нет.Но ситуация изменилась, Google был оштрафован за отказ подключиться к FGIS до конца 2018 года. И теперь очередь за VPN-сервисами.
28 марта 2019 года Роскомнадзор разослал владельцам десяти VPN-сервисов требования для подключения к FGIS. TorGuard первым отказался и опубликовал полученное уведомление. Вместо этого он удалил свои серверы из России и прекратил сотрудничество с тамошними центрами обработки данных. Роскомсвобода вела список VPN-сервисов, которые уже отреагировали на переезд Роскомнадзора: VyprVPN, OpenVPN, ProtonVPN, VPN Unlimited все отказались подключаться к FGIS, TorGuard и NordVPN также удалят свои серверы из России.Другие владельцы, такие как Private Internet Access, Trust.Zone Windscribe, Ivacy VPN, TgVPN, решили заранее заявить о своей приверженности защите безопасности и конфиденциальности своих клиентов и отказались сотрудничать с Роскомнадзором в будущем, если они также получат уведомление.
Однако пока что только один сервис заявил, что соответствует требованиям закона — Kaspersky Secure Connection. «Функции защитных решений« Лаборатории Касперского », распространяемые на территории Российской Федерации, полностью соответствуют и будут соответствовать нормативным актам Российской Федерации, а также соответствовать требованиям регуляторов, которые не влияют на основное назначение безопасного соединения. приложение — обеспечение конфиденциальности и защиты от перехвата данных, например, при использовании открытых сетей Wi-Fi при совершении онлайн-платежей в кафе, аэропортах или отелях », — прокомментировали в пресс-службе« Лаборатории Касперского ».
Неясно, как будет развиваться ситуация — получат ли дополнительные VPN-сервисы уведомление Роскомнадзора и удастся ли им заблокировать злоумышленников. Ясно одно: если сервис соглашается подключиться к FGIS, это нарушает логику его работы — VPN придется отслеживать активность пользователей и перекрывать доступ к запрещенным ресурсам. Но недавняя активность Роскомнадзора сигнализирует об усилиях, которые предпринимает сторожевой пес накануне следующего раунда обсуждения суверенного законопроекта о рунете.Он подготавливает почву для технических решений, которые необходимо указать в тексте законопроекта.
[1] Пакет Яровой — это набор поправок в антитеррористическое законодательство. Помимо требования, чтобы все поставщики услуг хранили содержание голосовых вызовов, данных, изображений и текстовых сообщений в течение 6 месяцев, а также метаданные сообщений в течение 3 лет, для этого требуются мессенджеры и социальные сети, которые используют шифрованную связь для обеспечения доступа ФСБ. и читать их зашифрованные сообщения по запросу.Мессенджер Telegram отказался «передать ключи шифрования» и с апреля 2018 года был внесен в черный список Роскомнадзора за несоблюдение требований.
[2] Кстати, закон о суверенном Интернете не содержит положений, отменяющих принцип сетевого нейтралитета в интересах национальной безопасности.
суровых практик для смелых / Блог Cross Technologies / Sudo Null IT News
Вот уже 13 лет в российском правовом поле действует Федеральный закон «О персональных данных» № 152-ФЗ.
Казалось бы, за прошедшие годы компании-операторы ПД прошли через все: признание необходимости защиты персональных данных и принятие того, что даже только ваше полное имя также является ПД, и неизбежность написания более двадцати организационных и административные документы, и даже скромное согласие с необходимостью создания полной системы безопасности наряду с бумажной защитой.
152-ФЗ не только повысило осведомленность операторов ПД, но и сами организации начали осознавать, что они являются владельцами конфиденциальной информации и требуют ее эффективной защиты.
Однако, несмотря на ежедневный опыт работы с ПД, самым актуальным вопросом перед аудитом всегда будет: «Что именно наблюдает Роскомнадзор?»
К счастью, у нас уже есть ответ, основанный на обширной практике подготовки к проверкам РКН: он рассматривает все, что связано с организационной защитой ПД.
К сожалению, это означает, что этот процесс непростой и масштабный, но в этом есть свои преимущества: такой проект — всегда отличный повод провести инвентаризацию информационных потоков и систем, что сделает бизнес-процессы более прозрачными и сделает можно их оптимизировать.Но это после. В этой статье будет описано, что делать, когда вы найдете свою компанию с точки зрения аудита.
Подготовка к поверке
Кстати, увидеть компанию в плане нужно как можно раньше: для этого прямо сейчас можно зайти на сайт Роскомнадзора и найти там документ «План Управления Федеральной службы по надзору в г. Сфера телекоммуникаций, информационных технологий и массовых коммуникаций в Центральном федеральном округе в 2019 году ».Если ваш юридический адрес находится в другом федеральном округе (или на момент чтения этой статьи 2019 год уже прошел), замените эти параметры на необходимые. Если вы не попали в план на текущий год, то примерно в декабре вы уже получите доступ к плану на следующий год.
Поскольку подготовка к аудиту включает в себя обязательный последующий этап реализации рекомендаций, вам необходимо начать процесс как минимум за 6 месяцев до официальной даты запуска — это поможет вам избежать нехватки времени и, как следствие, активно отвлечь сотрудников от их текущих задания (от коллег вряд ли будут приняты положительно) и упущение важных моментов в необходимой работе (а это не будет одобрено инспектором).
Приготовьтесь: вы окажетесь между двух огней, когда вам придется создавать временные неудобства для общего блага, но горькая пилюля иногда жизненно необходима, главное — это готовность принять все вместе. Инспекционная работа обязательно должна проходить в доброжелательной атмосфере сотрудничества. Ваша задача не наказать кого-то, а помочь компании провести самооценку и устранить нарушения и недостатки.
Для этого, прежде всего, необходимо донести до руководства компании важность мероприятия и попросить его активное участие.У золота есть правило: в бизнесе нужно говорить на понятном ему языке денег. Что ж: интересующие нас штрафы за нарушение федерального закона указаны в статьях 137, 140, 272, 274 УК РФ и статьях 13.11, 13.12, 13.25, 19.5 КоАП РФ, и теперь выдаются Роскомнадзором по каждому факту нарушения. Если ваш бизнес скептически относится к убыткам в несколько сотен или миллионов рублей, то ваш козырь — упоминание о репутационных рисках: обиженные сотрудники и клиенты полностью доступны в Интернете, новостные сайты готовы схватить любую небольшую утечку и раздуть ее до степень сенсации, и конкуренты будут рады им в этом помочь.
Но ваша задача не напугать руководство компании, а предложить ему решение проблемы и обратиться за поддержкой. На этом этапе нужно оценить свои силы и понять, есть ли в штате сотрудники, которых можно привлечь к проекту. Следует отметить, что эти сотрудники должны иметь возможность посвящать не менее 80% рабочего времени поставленной задаче — т.е. не готовить всю компанию к проверке параллельно с кадровой / бухгалтерской / юридической деятельностью, а посвящать почти все свои время для этого.И здесь мы подходим к важному условию успешного обучения — наличию в штате отдельного сотрудника, отвечающего за обработку и защиту персональных данных, который входит в состав подразделения информационной безопасности. Это наиболее эффективная модель управления этим процессом, и экономия здесь, на наш взгляд, нецелесообразна.
Возможны два варианта реализации данной модели: нанять сотрудника в штате или (а лучше одновременно) пригласить стороннюю организацию, специализирующуюся на подготовке и сопровождении проверок Роскомнадзора.
Основным критерием выбора такой компании — системного интегратора — является наличие аналогичных реализованных проектов в данной сфере, возможность представить услугу и подробно рассказать об этапах работы и результатах каждого из них, Возможность оправдать стоимость. Следует ожидать, что качественная работа никогда не будет стоить неприлично дешево и продлится неожиданно дешево.
Хороший интегратор обязательно предложит вам полный цикл работы: от готовности убедить руководство компании в необходимости поддержки проекта во время аудита и помощи в подготовке ответов до инструкций по устранению нарушений после него.
Независимо от того, привлечете ли вы стороннюю организацию или нет, самая большая вещь, в которой высшее руководство может вам помочь — помимо бюджета — это инициировать общекорпоративный информационный бюллетень о начале работы с просьбой полностью помогать ответственному лицу. Очень важно подчеркнуть, что это самооценка, а не проверка для выявления и наказания преступников. К сожалению, были случаи паники и сопротивления со стороны сотрудников вплоть до отказа предоставить столь необходимую информацию о том или ином процессе.Помните: вежливая просьба руководства и осознание участия в общем деле ради хорошей цели со стороны всех сотрудников творит чудеса.
Основные этапы работы
Теперь, когда загорелся зеленый свет, перейдем к необходимым этапам работы.
Самый эффективный способ подготовиться к аудиту — постараться охватить все по максимуму: заранее неизвестно, на какие именно процессы будет смотреть регулятор — все зависит от времени и кадровых ресурсов, выделенных Роскомнадзором.
Перед началом аудита компания получит официальное письмо с указанием сроков и плана. Условно процесс можно разделить на две части: запрос и изучение документации (речь идет о более чем двадцати организационно-распорядительных документах, упомянутых в начале) и очное собеседование с непосредственными исполнителями: инспектору совершенно неинтересно сидеть в конференц-зале и месяц общаться с руководителями отделов. Практически всегда разговоры происходят на рабочих местах сотрудников.Инспектор имеет право попросить показать системы / папки / почту, а также поискать что-то на рабочем компьютере: ему не нужно предоставлять доступ к сети компании, однако он может делать скриншоты определенных процессов.
Обязательно проверит процессы, характерные для всех компаний: режим прохождения («кто обрабатывает, как управлять ПД посетителей?»), Поиск кандидатов на вакантные должности («Сколько времени у соискателей резюме?»), Управление персоналом ( «Зачем нужно вести ПД уволенных сотрудников?»), Бухгалтерский учет («на каком основании передаются ПД в банк и страхование?»), Взаимодействие с контрагентами («даются ли им инструкции по обработке? защищен? Контролируется ли защита передаваемой информации? »), хранение и доставка документов архивом (« файл ли это с точки зрения законодательства? »).
Если ваш основной вид деятельности — оказание услуг, то поле для проверки еще более обширно: поиск клиентов, заключение договоров, обслуживание, расторжение, реклама.
С нетипичного они могут посмотреть на веб-сайт компании («есть ли политика обработки и защиты личных данных? Сообщение о файлах cookie и счетчиках?»), Мобильные приложения («У кого есть базы данных?»), Перейти к фронт-офис в роли тайного покупателя, проверьте работу call-центра, запросите модель угроз и даже спросите о процессе заказа визиток.
С чего начать обучение? Предлагаем действовать так же, как рецензент (отличная репетиция перед настоящей проверкой), с той лишь разницей, что весь коллектив готов вам помочь и расскажет все как есть, со всеми недостатками — поэтому вовлечение высшего руководства и предварительные разъяснения — столь важные причины внезапной работы внутреннего аудита.
Сначала внимательно изучите организационную структуру компании (и, если есть, список ISPD), смело выделите типовые процессы обработки ПД, предложите, где они могут быть помимо этих областей, назначьте собеседование.Из опыта: отделы ИТ и информационной безопасности лучше оставить на потом, когда вы уже будете иметь представление обо всех процессах обработки ПД. Найдите в компании все доступные документы для обработки и защиты персональных данных.
Каждое собеседование должно занимать от 30 до 60 минут: за это время вы сможете собрать всю необходимую информацию, не отвлекая собеседника от его рабочих задач на долгое время. Интервью — отличный шанс узнать, чего не хватает вашим коллегам для комфортной работы: очень часто мы слышим просьбы поразмышлять об отсутствии шредеров или запираемых шкафов, а также об отсутствии описания обязательных процедур сбора и защиты PD — это поможет защитить бюджет в будущем для создания или обновления системы безопасности.
Обязательно составляйте протокол собеседования во время общения и согласовывайте его со своим собеседником после. Отразите в нем все документы, которые могут содержать ПД или предполагать их получение / отправку, и обсуждались в ходе разговора — в дальнейшем вам необходимо запросить и проанализировать их.
Таким образом, в конце этапа экспертизы у вас должно быть:
- Согласованные протоколы собеседования
- Все доступные действительные документы по обработке и защите ПД
- Все документы, которые могут включать ввод ПД, их получение или передачу
В конечном итоге
Осталось самое интересное: составить обзорный отчет, куда нужно включить все протоколы, аналитику каждого документа, аналитику каждого процесса.А по результатам вашей работы — список обнаруженных нарушений, рекомендации по их устранению с указанием сроков и ответственности.
Вот и все: теперь вы можете вздохнуть с облегчением и … немедленно приступить к выполнению этих рекомендаций.
Гарантирует ли проделанная работа идеальный тест? Никто не может вам обещать, что процесс пойдет без единого комментария (во всяком случае, ни одного добросовестного опытного специалиста — точно), но вы вполне можете как можно меньше влиять на количество таких комментариев и их устранение будет минимальным. болезненно в отведенные (вполне демократичные сейчас 3-6 месяцев) сроки.
После проверки обязательно подумайте о технических аспектах защиты ПД, поддержите внедренные процедуры и документы, проведите обучение сотрудников, и в следующий раз вам обязательно будет немного легче.
Интернет в России уже тускнеет, становится темнее
Российский интернет становится менее свободным, более изолированным от остального мира и идет по пути, напоминающему страны со строго контролируемым онлайн-пространством, как в Иране.
Недавний отчет ведущей группы по цифровым правам в России рисует мрачную картину государственной цензуры в Интернете.В исследовании, опубликованном московской группой «Роскомсвобода», выступающей за свободу в Интернете и защиту цифровых прав, изучались случаи, когда простые россияне обнаруживали, что доступ к Интернету ограничен властями. В 2019 году было зарегистрировано около 440 000 инцидентов, когда люди сталкивались с какими-то препятствиями при попытке получить доступ к информации в Интернете.
Препятствия включают веб-сайты, которые были заблокированы правительством, или подавление информации другими мерами, такими как запрет людям использовать Интернет и мобильные передачи данных.
В отчете подчеркивается озабоченность экспертов по цифровым свободам тем, что Россия строит свой собственный параллельный Интернет. Во всем мире ряд стран пытается контролировать онлайн-пространство, и наиболее очевидным примером является так называемый «Великий файрвол» в Китае.
Согласно отчету, опубликованному в феврале, количество интернет-страниц, запрещенных Роскомнадзором, выросло с более чем 161 000 в 2018 году до почти 273 000 в 2019 году. За тот же период количество спонсируемых государством кибератак на особи выросли с 20 до 32.
По словам соучредителя и технического директора Роскомсвободы Станислава Шакирова, борьба с Интернетом в России начинается с провайдеров связи. «Трансграничные каналы оказались под контролем государства за последние 10 лет», — сказал Шакиров. «Ключевые игроки операторского рынка — провайдеры связи и владельцы центров обработки данных — теперь контролируются властями».
В отчете подчеркивается усиливающееся давление правительства на Интернет.В России за последние пять лет были введены жесткие законы об Интернете, требующие от поисковых систем удалять некоторые результаты, от служб обмена сообщениями — для обмена ключами шифрования со службами безопасности, а от социальных сетей — для хранения своих пользовательских данных на серверах в России.
Подписаться на Infodemic
Получите нашу рассылку по отслеживанию глобальной дезинформации о коронавирусе
Возможности Роскомнадзора по управлению и блокировке цифрового контента были расширены в прошлом году за счет введения так называемого «суверенного закона об Интернете».Этот закон дает Кремлю возможность отключить цифровые соединения внутри России или ограничить доступ к всемирной сети в «чрезвычайных» ситуациях.
Интернет-провайдеры также должны установить оборудование, использующее метод обработки данных, известный как глубокая проверка пакетов (DPI), который может идентифицировать источник трафика и фильтровать контент. На практике DPI позволит Роскомнадзору более эффективно блокировать сайты.
Глубокая проверка пакетов часто используется авторитарными правительствами для наблюдения за своими гражданами и цензуры контента, который считается незаконным.Согласно Wired, DPI — это «эквивалент открытия писем в почтовом депо и чтения их содержимого».
Испытания российского оборудованияDPI должны были начаться 20 марта, но были отложены на неопределенный срок из-за пандемии коронавируса.
Хотя DPI может быть эффективным, пользователи могут избежать наблюдения, скрывая свою интернет-активность за виртуальной частной сетью примерно за 10 долларов в месяц. Россия запретила VPN в 2017 году, но закон вступил в силу только в прошлом году, когда Роскомнадзор поместил 10 популярных VPN-сервисов в свой черный список.
В ответ «Роскомсвобода» запустила веб-сайт, на котором перечислены доступные в настоящее время VPN.
Густав Бьоркстен, главный технолог Access Now, говорит, что будущее Интернета в России может больше напоминать будущее Ирана, где правительство смогло усилить контроль над своей цифровой инфраструктурой и даже отключить подключение к Интернету во время протестов. место.
«Последние несколько лет Иран систематически заменял всю зависимость от глобальной интернет-инфраструктуры своим собственным суверенным интернет-стеком», — сказал Бьоркстен.«Национальная интернет-инфраструктура Ирана по-прежнему подключена к глобальному интернету, но в любой момент они могут отключить его на международных шлюзах, и весь интернет-стек будет продолжать функционировать в пределах границ Ирана. Это путь, по которому Россия предлагает идти ».
Русский «аварийный выключатель» для Интернета уже существует. Во время протестов в августе прошлого года три основных интернет-провайдера страны — МеганФон, МТС и ВымпелКом — отключили своих пользователей от мобильной передачи данных.Эксперты российской неправительственной организации «Общество защиты Интернета» назвали этот инцидент «первым закрытием в истории Москвы».
Контроль над Интернетом в России также распространяется на содействие доступу к веб-сайтам, которые считаются «социально важными». Ранее в этом месяце Министерство связи подписало приказ о запуске проекта «Доступный Интернет», который предоставляет бесплатную сеть, которая предлагает доступ к 391 утвержденному веб-сайту.
В список включены поисковые системы и сайты государственных органов и банков.Также представлены проправительственные газеты и социальные сети «ВКонтакте» и «Одноклассники». Зарубежные социальные сети, такие как Facebook и Twitter, а также СМИ, критикующие Россию, не предлагаются. Тестовая фаза проекта продлится до 1 июля.
По словам Алены Епифановой, сотрудника программы Немецкого совета по международным отношениям и автора статьи о российских законах об Интернете, российские пользователи Интернета в конечном итоге устанут от попыток получить доступ к заблокированным сайтам. «Они просто окажутся в настолько невыгодном положении, что пользователи покинут их и вместо этого — очевидно добровольно — войдут в сеть, в которой государство может осуществлять больший социальный контроль.”
Дополнительная отчетность Катерины Фомина
Подписаться на Infodemic
Получите нашу рассылку по отслеживанию глобальной дезинформации о коронавирусе
Расшифровка российского «суверенного закона об Интернете»
Германия и ЕС должны оценить риски и долгосрочные последствия нового законодательства России в отношении Интернета для европейских компаний и субъектов гражданского общества. |
Институты ЕС, особенно Европейская комиссия с ее геополитической направленностью и амбициями, должны рассмотреть возможность разработки механизмов для защиты компаний и субъектов гражданского общества в странах-членах ЕС от неблагоприятных факторов, создаваемых новыми правилами России. |
Германия и ЕС должны активно продвигать преимущества глобального Интернета и вовлекать основные заинтересованные стороны, представителей гражданского общества и бизнес-структуры в широкую дискуссию о том, как сохранить и улучшить его будущее. |
Новый «суверенный закон об Интернете»
Новые правила об Интернете в России, большинство из которых вступили в силу 1 ноября 2019 г., а другие должны следовать в январе 2021 г., привлекли международное внимание и были публично названы российским «суверенным законом об Интернете».На самом деле такого нового закона не было, а была серия поправок к существующим федеральным законам «О связи» и «Об информации, информационных технологиях и защите информации».
Официально поправки направлены на защиту Интернета в России от внешних угроз. Фактически, они обеспечивают важную правовую основу для создания централизованной системы управления Интернетом со стороны государственной власти, что теоретически позволяет изолировать российскую сеть от глобального Интернета.Эти три поправки имеют особенно далеко идущие последствия:
- Обязательный монтаж технических средств противодействия угрозам
- Централизованное управление телекоммуникационными сетями в случае угрозы и механизм контроля линий присоединения, пересекающих границу России
- Внедрение Российской национальной системы доменных имен (DNS)
Цели России
С помощью этих трех ключевых поправок Россия пытается достичь как минимум трех различных целей.Во-первых, он нацелен на создание механизма эффективного наблюдения за Интернетом в пределах его границ. С этой целью поправка, касающаяся установки «технических средств противодействия угрозам», позволяет усилить государственный контроль над информацией и предотвратить ее распространение в случае необходимости. Следовательно, реализация нового законодательства может дать российскому правительству возможность ограничить активность оппозиции в социальных сетях, помогая ему предотвращать протесты, подобные протестам 2011–2013 годов в преддверии выборов в российский парламент, Государственную думу, намеченных на 2021 и 2021 годы. президентские выборы назначены на 2024 год.Даже если эту поправку технически сложно реализовать, как будет объяснено ниже, сам закон является частью продолжающейся стратегии запугивания режима Путина и повлияет на российское общество.
Во-вторых, государство стремится стать ключевым регулятором Интернета в России. Недавняя поправка, позволяющая государству создавать централизованный контроль над интернет-инфраструктурой путем введения трансграничного контроля линий подключения и перенаправления трафика, является попыткой обеспечить изоляцию национальной сети от глобального Интернета — для чего государство может открывать и закрывать «цифровые границы» и определять поток информации внутри них по своему усмотрению.Хотя тотальный государственный контроль над Интернетом в России останется невозможным до тех пор, пока страна подключена к миру через существующую инфраструктуру глобального Интернета, принятие этой поправки режимом Путина было попыткой представить свой контроль над телекоммуникационными линиями, сетями и т. Д. и трафик как свершившийся факт.
В-третьих, Россия намерена расширить государственно-ориентированную модель Интернета на международный уровень. Поправка, направленная на создание инфраструктуры для национальной системы доменных имен (DNS), может, если она будет достигнута в соответствии с планом в январе 2021 года, создаст российский сегмент Интернета — параллельный и, вероятно, несовместимый с существующим.Этим шагом Россия не стремится изолировать себя от остального мира, а скорее создает прецедент, которому могут последовать другие государства, стремящиеся к суверенитету над своими сегментами Интернета. Предположительно, России необходимо будет даже более тесно сотрудничать с Китаем, чем она уже есть, для разработки технологий для достижения своих целей и координации своей интернет-политики на международном уровне. В долгосрочной перспективе такое сотрудничество может привести к расколу глобального Интернета и смене заинтересованных сторон и полномочий.
Риски для других
Хотя некоторые последствия трех поправок все еще неясны, а некоторые нормативные акты и требования еще не приняты, новое законодательство уже несет в себе конкретные риски, которые касаются не только самой России, но и Германии и других европейских стран, которые сотрудничают с Россией и владеют ею. компании, работающие в нем.
Теперь обязательное «техническое оборудование для противодействия угрозам», например, также сможет определять приоритеты трафика.Он может задерживать поток одних типов сетевых пакетов, отдавая приоритет другим, повышая их производительность. На практике пользователи определенных веб-сайтов и сервисов могут испытывать медленный доступ или недоступность. Такая расстановка приоритетов может поставить под угрозу сетевой нейтралитет и привести к дискриминации компаний, не защищенных российским государством.
Тот факт, что для этого нового оборудования не существует ни технических требований, ни сертификации, также означает, что сбои в сети более вероятны.Компании, работающие в России, в свою очередь, могут понести побочный ущерб, вызванный новым оборудованием, с ограниченными возможностями возмещения убытков.
Кроме того, более вероятная перспектива так называемого «сплинтернет», где сегменты Интернета контролируются и регулируются разными государствами и субъектами, может привести к несовместимости между техническими, нормативными и эксплуатационными стандартами, что препятствует трансграничному сотрудничеству. и функциональная совместимость глобального Интернета.
Централизация государственного контроля над децентрализованным Интернетом
Россия имеет давнюю политику в области информации и Интернета, с помощью которой она уже пыталась контролировать Интернет в предыдущие годы, как было также описано в недавнем документе DGAP Андрея Солдатова (см. Информационное окно ниже).Но в текущей практике государственные органы применяют уже существующие в России ограничительные законы об Интернете выборочно по двум причинам. Во-первых, из-за отсутствия технических возможностей некоторые законы не могут быть реализованы. Во-вторых, некоторые интернет-сервисы и приложения настолько популярны, что государство не блокирует их, чтобы избежать общественного недовольства.
В целом, чтобы получить большее влияние во внутреннем Интернете, государственные органы могут внедрить централизованные и децентрализованные механизмы контроля.Какой из них выбрать, в основном определяется сетевой инфраструктурой и объемом контроля стран над своими сетями. Китай, например, выбирает централизованное управление; страна поставила под свое иго провайдеров интернет-услуг (ISP) на раннем этапе, и трафик направляется через «узкие точки», сетевые узлы, через которые проходят данные при входе во внутреннюю сеть страны или выходе из нее. Такие страны, как Великобритания, Индия и Россия, в настоящее время имеют гораздо меньший контроль над своими сетями и внутренними интернет-провайдерами.В их случае предпочтителен децентрализованный подход. Власти вводят новые законы и политические меры и обязывают интернет-провайдеров их соблюдать. До этого момента Россия была «самой большой и самой агрессивной» страной, добивавшейся децентрализованного контроля, о чем свидетельствуют законы, принятые с 2012 года, регулирующие Интернет. Новые поправки, внесенные в 2019 году, призваны предоставить российским властям более централизованные полномочия. Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — и центральный пункт управления сетями и объектами связи, а также персональными данными в России, желает отслеживать трафик в его источнике, не имея между собой интернет-провайдера. или интернет-сервисы, не соответствующие новым правилам.
Очевидно, Россия сейчас пытается догнать то, что Китай быстро реализовал на заре Интернета: централизованные и эффективные механизмы контроля в корне сети.
Один из первых законов был принят в ответ на серию массовых протестов в 2011–2013 годах. Протесты были направлены против манипулирования парламентскими выборами и так называемой рокировки — смены позиций между тогдашним президентом Дмитрием Медведевым и премьер-министром Владимиром Путиным. .Оппозиция широко использовала Интернет для вывода людей на улицы. По реакции государства в 2012 году вступил в силу закон о едином реестре запрещенных сайтов. Первоначально в реестр были включены сайты, содержащие детскую порнографию и наркотики. Но менее чем через два года, в 2014 году, в него вошли веб-сайты, пропагандирующие беспорядки или содержащие экстремистский контент или участие в массовых публичных мероприятиях. С 2015 года все отечественные и зарубежные интернет-компании обязаны обеспечивать запись, систематизацию, накопление и хранение персональных данных граждан России на серверах, физически расположенных на территории России. В 2016 году вступил в силу Закон Яровой (назван в честь Ирины Яровой, члена партии «Единая Россия» в Госдуме и соавтора закона). С тех пор телекоммуникационные компании были обязаны хранить содержание текстовых сообщений, телефонных разговоров, изображений и видео в течение шести месяцев, а также их метаданные в течение трех лет на территории России. Они должны предоставить эту информацию службам безопасности по запросу. |
Последствия трех ключевых поправок
Ниже подробно объясняются последствия трех ключевых поправок, включенных в новые правила.
1. Обязательная установка технических средств противодействия угрозам
Эта поправка требует, чтобы все интернет-провайдеры установили «техническое оборудование для противодействия угрозам стабильности, безопасности и функциональной целостности Интернета на территории Российской Федерации» (TSPU) в своих сетях. В законодательстве не указано, какое техническое оборудование следует использовать. Хотя на момент написания этого документа еще не было официального постановления об этом оборудовании и его технических требованиях, в статьях этой поправки указано, что Роскомнадзор предоставит его провайдерам бесплатно.Технология, по всей видимости, будет установлена по всей стране одной компанией под названием «Центр обработки и автоматизации данных» и будет контролироваться Роскомнадзором.
Прошлая попытка российского государства заблокировать Telegram, облачное приложение для обмена сообщениями, является хорошим примером того, как режим пытается использовать эту поправку для предотвращения неограниченного общения, которое может использоваться для координации социальных волнений и оппозиционных движений. Telegram утверждает, что обеспечивает безопасный обмен информацией с помощью сквозного шифрования, что делает общение возможным без того, чтобы спецслужбы могли ее прочитать.В 2018 году, по словам основателя компании Павла Дурова, у Telegram было более 15 миллионов пользователей в России.
В попытке заблокировать Telegram Роскомнадзор безуспешно пытался заблокировать IP-адреса серверов Telegram. Чтобы окончательно запретить услугу и предотвратить скрытую связь, российские власти могут использовать, среди прочего, технологию, обычно называемую Deep Packet Inspection (DPI). Эта новая поправка обязывает интернет-провайдеров соглашаться и сотрудничать в процессе установки систем DPI или аналогичных технологий.
Основными техническими компонентами систем DPI являются так называемые черные ящики, которые устанавливаются в хабах интернет-провайдеров для анализа как пакетов данных, так и содержимого сообщений. Они позволяют отслеживать, фильтровать и замедлять запросы, а также блокировать определенный контент. Черные ящики также могут определять, к какой службе или приложению относится каждый пакет данных. Хотя системы DPI используются в России с 2012 года, когда было принято законодательство о создании черного списка Интернета, интернет-провайдеры еще не внедрили их широко из-за их высокой стоимости, которую они должны были нести самостоятельно. |
Анонимные источники сообщили BBC, что системы DPI, которые уже были протестированы в сетях всех основных операторов мобильной связи в Уральском регионе, действительно являются выбором Роскомнадзора. Хотя поэтому можно предположить, что реализация поправки TSPU будет основана, по крайней мере частично, на использовании технологии Deep Packet Inspection — точные характеристики, возможности и эффективность которой неизвестны — она также может включать другое оборудование. и программные решения, которые в настоящее время также неизвестны.
Могут быть заблокированы даже зашифрованные соединения
Если Роскомнадзор широко внедрит системы DPI или аналогичные технологии, они могут быть использованы для блокировки нежелательного трафика и жесткой цензуры в российской сети. Можно подумать, что системы DPI не могут идентифицировать и, следовательно, блокировать пакеты зашифрованных соединений, таких как защищенный протокол передачи гипертекста (HTTPS), который широко используется во всемирной паутине. К сожалению, это не совсем так. Поскольку пакеты данных — даже те, которые отправляются через зашифрованное соединение — всегда отправляются в определенное место назначения, они всегда должны содержать видимый адрес.Эта информация не может быть зашифрована, потому что в противном случае интернет-провайдер не знал бы, на какой адрес он должен отправить запрос пользователя. Например, интернет-провайдер будет знать, что пользователь запрашивает данные с YouTube, размер запроса и его длину. Но благодаря шифрованию он не будет знать, какое именно видео смотрит пользователь.
Для российских властей адрес посылки может быть достаточным индикатором для блокировки запросов с нежелательных веб-сайтов. Одним из возможных решений было бы для пользователя скрыть адрес пакета, который он или она хочет отправить, перенаправив его через виртуальную частную сеть (VPN).В этом случае пользователь общается не напрямую с интернет-провайдером, а через одну или несколько организаций между ними. Это делает пункт назначения запроса видимым только для поставщика услуг VPN, но не для интернет-провайдера. Но, поскольку российские власти также пытаются использовать системы DPI или аналогичные технологии для отключения VPN-сервисов, этот обходной путь может рано или поздно перестать быть жизнеспособным вариантом.
Еще один обходной путь, который используется в настоящее время, — это метод, называемый «входом в домен», при котором запрос перенаправляется на тот же сервер после того, как установлено HTTPS-соединение.Этот метод, среди прочего, использовался Telegram для обхода IP-запретов Роскомнадзора. Однако и этот обходной путь становится все труднее реализовать, поскольку такие компании, как Amazon или Google, которые используют серверы, также используемые для доступа к доменам, стремятся положить конец этой практике.
Скорость движения может быть приоритетной и дискриминированной
DPI или аналогичные технологии также могут использоваться для определения приоритетов и различения трафика. Приоритет трафика может иметь далеко идущие последствия для сетевого нейтралитета, особенно если это осуществляется государственным органом.Роскомнадзор может замедлить скорость трафика всех неизвестных или нежелательных подключений и установить приоритетность доверенных подключений организаций, которые соответствуют установленным правилам.
Европейские операторы электросвязи могли подтвердить, что такая приоритезация и дискриминация трафика работают. Более крупные интернет-провайдеры, включая Deutsche Telekom, подозреваются в использовании DPI в коммерческих целях, чтобы контролировать скорость трафика и блокировать интенсивные формы потребления (например, потоковую передачу), которые не включены в контракт с пользователем.И если интернет-провайдеры могут замедлить соединение, Роскомнадзор может сделать то же самое, чтобы оказать огромное давление на компании, которые не соблюдают установленные правила. Если государственный орган массово замедлит некоторые связи, целевые компании могут столкнуться с проблемами, которые угрожают их бизнесу. Это может включать заметное сокращение своей пользовательской базы, поскольку клиенты, недовольные неудобствами существенно более медленных услуг, вынуждены искать альтернативы.
Если эта поправка будет полностью реализована, то обойти службы DPI и получить доступ к ограниченным областям Интернета будет очень сложно, за исключением высококвалифицированных пользователей, что приведет к «асимметрии эффективности блокировки».«Поскольку следует предполагать, что ИТ-специалисты могут обходить системы DPI, официальная цель поправки — отражение угроз — не совсем правдоподобна. Другими словами, более вероятно, что основная цель широкого внедрения DPI — это обычные пользователи в России, чье использование Интернета, несомненно, будет ограничено. Частные компании также могут стать мишенью для причинения им экономических неудобств.
2. Централизованное управление телекоммуникационными сетями при возникновении угрозы и механизм контроля соединительных линий, пересекающих границу России
Эта новая поправка гласит, что Роскомнадзор может взять на себя централизованное управление сетью в случае «угрозы».Три основные угрозы определены в постановлении правительства о «централизованном управлении сетью связи общего пользования», которое в настоящее время все еще находится на стадии разработки и еще не вступило в силу. Эти угрозы:
- для целостности сети, например, когда невозможно установить соединение между пользователями;
- для стабильности сети, например, когда оборудование не работает должным образом или отключено из-за стихийных бедствий или техногенных катастроф;
- для обеспечения безопасности функционирования сети, например, когда хакеры атакуют сеть и интернет-провайдеры не могут противостоять атаке, или когда сами интернет-провайдеры вызывают сбои.
Если какая-либо из этих угроз материализуется, российские интернет-провайдеры должны будут соблюдать правила, установленные Роскомнадзором, которые затем запрещают маршрутизацию телекоммуникационных сообщений через сети связи, расположенные за пределами территории Российской Федерации. Кроме того, когда две автономные системы хотят взаимодействовать друг с другом, они должны будут сделать это через обмен трафиком и точки подключения, контролируемые Роскомнадзором. Агентство может попросить любого интернет-провайдера или человека, использующего автономную систему, «изменить маршруты телекоммуникационных сообщений» и направить эти сообщения с помощью «технических средств для противодействия угрозам стабильности, безопасности и целостности функционирования […] Интернета».”
Кроме того, это новое изменение создает механизм контроля для линий связи, пересекающих границу Российской Федерации. Все владельцы таких линий связи обязаны сообщать Роскомнадзору не только о своем назначении, но и о том, какие объекты существуют на этой линии.
На границах России более 40 провайдеров, и на данный момент нет крупных узких мест
Опасность Kill-Switch
Вышеупомянутые положения дают государственным органам возможность создать «аварийный выключатель», относительно простой в использовании механизм, который можно использовать для отключения большей части российского Интернета.В случае такого отключения даже системы обхода DPI, VPN или другие неопознанные соединения не будут работать — связь становится физически невозможной.
Глобальный Интернет силен и избыточен, потому что его трафик обрабатывается сетью компьютеров и серверов; поэтому данные могут проходить по разным путям, чтобы достичь места назначения. Объем централизованного обмена трафиком и узких мест сильно влияет на способность правительства цензурировать и подавлять потоки данных.Чем меньше количество узких мест, тем легче ими управлять.
С введением этой новой поправки российские власти ослабят устойчивую структуру российского Интернета, направляя трафик через централизованные, контролируемые государством точки подключения, которые могут быть отключены в случае «угрозы». Российские власти могут вскоре отключить основные части сети и, таким образом, предотвратить проникновение или распространение информации, критичной по отношению к правительству, внутри страны.
В прошлом в разных странах происходило несколько преднамеренных отключений Интернета в разных масштабах. Умышленное отключение на месте теоретически возможно в любой стране со слабой правовой системой — потому что его можно протолкнуть с небольшим юридическим сопротивлением. Например, одно такое отключение произошло в августе 2019 года во время митингов в центре Москвы; BBC утверждает, что его запросили правоохранительные органы. В ноябре 2019 года Иран на несколько дней отключил большую часть своего интернета.Однако это общенациональное отключение стало возможным только потому, что страна полагается на передачи данных через узкие точки и имеет очень ограниченное количество интернет-провайдеров, которые все контролируются государством. В отличие от Ирана, у России более 40 провайдеров на своих границах, много интернет-провайдеров и — на данный момент — нет крупных узких мест. Эти параметры затрудняли выполнение любого крупного отключения Интернета в России. Новые поправки, однако, создают новую правовую основу именно для такого сценария, тем самым повышая вероятность остановки.
3. Внедрение Российской национальной системы доменных имен (DNS)
Эта ключевая поправка касается создания российской национальной системы доменных имен (DNS), которая должна быть внедрена к январю 2021 года. Она направлена на «обеспечение стабильного и безопасного использования доменных имен на территории Российской Федерации». Российская национальная доменная зона будет состоять из собственной инфраструктуры, что означает корневые серверы и собственные доменные имена. Роскомнадзор снова наделен огромными полномочиями: он будет определять положения о национальной DNS, требования к ней и порядок ее создания, а также правила ее использования.Также будет определен список групп доменных имен, составляющих национальную доменную систему России.
Создание собственной национальной DNS никогда не было успешным ни в одной стране. Поэтому очень трудно предсказать, сможет ли такая система работать параллельно с используемой в настоящее время всемирной DNS, которая распределяется и управляется Международной корпорацией по присвоению имен и номеров (ICANN). Национальная DNS будет иметь смысл только в том случае, если страна выберет долгосрочную и полную изоляцию своего Интернета.Если России удастся реализовать новые поправки, предусматривающие контроль над всеми сетями и серверами на ее собственной территории и позволяющие отключать их от глобального Интернета, тогда ей потребуется собственная система доменных имен. Это отделит российские веб-сайты от международной DNS, что сделает их недоступными во всех других частях мира. В то же время Россия, скорее всего, не сможет использовать глобальную DNS.
Стремление к независимости от ICANN
В пояснительной записке к новому закону России о «суверенном Интернете» российский законодательный орган утверждает, что он был создан в свете «агрессивного характера Национальной стратегии кибербезопасности США, принятой в сентябре 2018 года.В нем США обвиняют Россию — наряду с Китаем, Ираном и Северной Кореей — в использовании «кибер-инструментов для подрыва [ее] экономики и демократии, [и] кражи [ее] интеллектуальной собственности». Кроме того, в документе говорится, что США накажут тех, кто использует против них кибератаки. Согласно пояснительной записке, России необходимо принять «защитные меры для обеспечения долгосрочной и стабильной работы Интернета в России, а также для повышения надежности российских интернет-ресурсов.”
Но было бы неправильно рассматривать новое законодательство России в области Интернета как простую реакцию на Национальную стратегию кибербезопасности США от 2018 года. С 2012 года Россия активно критиковала доминирующее положение ICANN в координации глобальной DNS, распределении IP-адресов и управлении Интернет. Параллельно Россия продвигает альтернативную модель управления Интернетом с сильным государственным суверенитетом и в рамках Международного союза электросвязи (МСЭ) ООН.
Россия продвигает альтернативную модель управления Интернетом с сильным государственным суверенитетом
Опасения россиян быть отключенными от интернета, выраженные в пояснительной записке, не совсем правдоподобны. Прежде всего, поскольку ICANN является независимой организацией, вмешательство со стороны правительства США с юридической точки зрения почти исключено. Более того, правительство США, скорее всего, технически не способно закрыть домены, связанные с российскими веб-сайтами.Всемирной DNS управляет IANA (Управление по присвоению номеров в Интернете), подразделение ICANN, расположенное в Калифорнии. Домены верхнего уровня (TLD), такие как .ru или .de, хранятся в так называемых файлах корневой зоны. Эти файлы, которые управляются ICANN и могут считаться основой Интернета, в основном хранятся на 13 серверах корневой зоны по всему миру, десять из которых расположены в США, а по одному — в Нидерландах, Швеции и Японии. Но файлы TLD также хранятся на многих других серверах имен. Если, например, 10 корневых серверов на территории США будут изменены таким образом, что домены российских веб-сайтов будут перенаправлены, останутся еще три других корневых сервера и все серверы имен.Как только обнаруживается манипуляция с файлами корневой зоны, поставщики DNS могут остановить процесс зеркалирования с корневых серверов США. Следовательно, на всех остальных DNS-серверах по-прежнему будут файлы, предоставляющие доступ к российским доменным именам. Следовательно, даже если почти все корневые серверы расположены в США, отключение правительством США ДВУ, связанных с российскими веб-сайтами, нереалистично.
На этом фоне кажется, что целью этой новой поправки является не защита Интернета в России от внешних атак, а, скорее, упреждающий шаг к отделению своего собственного национального сегмента от инфраструктуры глобального Интернета, чтобы получить выгоду. государственный суверенитет над ним.Прежде всего, проприетарный DNS сделает Россию независимой от ICANN, в которой, по мнению Кремля, доминируют США. И хотя техническая реализация кажется непростой, национальная DNS является ключевой частью, которая позволит государству отключить внутренний Интернет на длительный срок. Тогда России не придется справляться с международным трафиком и, следовательно, с нежелательной информацией, исходящей или поступающей из страны.
Россия, вероятно, будет развивать партнерство с Китаем
Амбиции России по построению модели государственного контроля над Интернетом, созданию собственной национальной DNS и установлению новых правил в киберпространстве имеют смысл только в том случае, если она объединяется с другими странами.Еще неизвестно, сколько стран захотят присоединиться к его эксперименту. Однако, когда дело доходит до Интернета, у России уже есть давние отношения с Китаем. В обеих странах было проведено несколько встреч на высоком уровне по кибербезопасности и контролю за Интернетом.
В мае 2015 года Россия и Китай подписали двустороннее соглашение о сотрудничестве в области международной информационной безопасности и определили широкий спектр форм такого сотрудничества. Соглашение включает «создание каналов связи и контактов для совместного реагирования на угрозы», «обмен информацией о законодательстве государств по обеспечению информационной безопасности» и «взаимодействие в разработке и продвижении стандартов международного права для обеспечения национального и международная информационная безопасность.”
Кроме того, в июне 2016 года Владимир Путин и Си Цзиньпин подписали совместное заявление о сотрудничестве в области развития информационного пространства. Оба лидера подчеркивают, что они «как всегда придерживаются принципа уважения национального суверенитета в информационном пространстве» и «исследуют возможности разработки универсальных правил ответственного поведения в информационном пространстве в рамках ООН». Действительно, Китай часто поддерживал инициативы России по установлению правил в киберпространстве в рамках ООН.
Китайско-российское сотрудничество может привести к разрушению глобального Интернета
Такое сотрудничество с Китаем может быть выгодно для амбиций России в Интернете как во внутренней, так и во внешней политике по нескольким причинам. Прежде всего, отклонение России от Запада означает, что ей могут потребоваться технологии из Китая; Фактически, он уже заключает сделки с китайскими компаниями. Например, в июне 2019 года Huawei подписала — в присутствии президента Владимира Путина и президента Си Цзиньпина — контракт с МТС, одной из крупнейших российских телекоммуникационных компаний, о развитии сети 5G в России.Буквально через пару месяцев они совместно запустили первую тестовую зону 5G в Москве.
Во-вторых, российские власти могут извлечь выгоду из опыта Китая в регулировании и надзоре за Интернетом, когда дело доходит до реализации своего нового законодательства о контроле за Интернетом. По сообщениям прессы, Роскомнадзор и его китайский коллега — Управление киберпространства Китая — собираются сотрудничать в противодействии распространению запрещенной информации.
Однако сотрудничество между Москвой и Пекином не означает автоматически, что российские власти могут просто имитировать процедуры Китая по блокированию нежелательного трафика.Как уже упоминалось, с учетом того факта, что Китай начал процесс изоляции и реализации своего так называемого «Великого файрвола» в первые дни своего участия в Интернете, структура китайской сети на данный момент сильно отличается от российской. который с самого начала был полностью интегрирован в глобальный децентрализованный Интернет. В то время как в китайском Интернете очень мало узлов для обмена трансграничным трафиком, в России их много, некоторые из которых даже не находятся в поле зрения государственных органов.
Германия должна добавить координирующую поддержку существующей модели управления Интернетом с участием многих заинтересованных сторон
Кроме того, поскольку Китай имеет свои собственные глобальные интернет-сервисы, он не полагается на YouTube, WhatsApp, Google или Facebook. В России американские компании Google и Facebook в настоящее время предоставляют одни из наиболее широко используемых интернет-платформ. Многие из этих компаний работают на международном уровне. Google, например, хранит пользовательские данные на множестве различных серверов по всему миру, что затрудняет их регулирование.Поскольку российское общество и экономика сильно зависят от таких сервисов, как социальные сети, поисковые системы, финансовые услуги и «Программное обеспечение как услуга» (SaaS), замена зарубежных версий отечественными версиями кажется почти непреодолимой задачей. Простое закрытие иностранных платформ также имело бы огромные негативные последствия для экономики и, вероятно, вызвало бы общественное возмущение.
Кроме того, России необходимо сотрудничать с Китаем на международном уровне, чтобы продвигать идею государственного суверенитета в киберпространстве.Как предполагалось ранее, отделение России от глобального Интернета имело бы смысл только в том случае, если бы у страны были союзники, с которыми она могла бы создать параллельную сеть. В ноябре 2017 года стало известно, что Совет безопасности России поручил Минкомсвязи и МИД разработать идеи отдельной интернет-инфраструктуры и собственной системы корневых серверов DNS для стран БРИКС — Бразилии, России, Индии, Китая, и Южная Африка — независимо от ICANN.Успешное создание регионального сегмента Интернета будет зависеть от разработки Россией и Китаем сетевой инфраструктуры, которая может поддерживаться без архитектуры глобального Интернета. Пока трудно предсказать, добьются ли они успеха. Также все еще неясно, насколько привлекательно для других стран отключиться от глобального Интернета. Однако с новым законодательством Россия создала правовую базу, к реализации которой следует отнестись серьезно.
Рекомендации
Во-первых, Германия и ЕС должны начать своевременную оценку рисков и долгосрочных последствий нового законодательства России в отношении Интернета для европейских компаний и субъектов гражданского общества. ЕС необходимо четкое понимание зависимости России от экосистемы Интернета, ее технических возможностей и политических целей, чтобы различать официально провозглашенные цели российского государства и его реальные намерения, что, в свою очередь, является предпосылкой для принятия соответствующее действие.
Во-вторых, учреждениям ЕС необходимо рассмотреть возможность принятия активных мер для защиты компаний и субъектов гражданского общества в странах-членах ЕС, действующих в России, от недостатков, созданных новыми правилами режима Путина. Европейская комиссия с ее геополитической направленностью и амбициями могла бы сыграть особенно ключевую роль в создании и реализации таких мер.
В-третьих, правительство Германии могло бы сыграть важную роль в защите открытого и бесплатного Интернета. В частности, Германии следует добавить координирующую поддержку существующей модели управления Интернетом с участием многих заинтересованных сторон к задачам своего предстоящего председательства в ЕС, которое начнется во второй половине 2020 года.Например, стандарты транснационального правового регулирования необходимо разработать как можно скорее — особенно потому, что продолжающееся сотрудничество между Китаем и Россией в области фильтрации, контроля и регулирования Интернета представляет реальную опасность сегментирования существующего Интернета и смены мировой власти.
Наконец, Германия и ЕС должны активно продвигать преимущества глобального Интернета и вовлекать основные заинтересованные стороны, представителей гражданского общества и бизнес-структуры в широкую дискуссию о том, как сохранить и улучшить его будущее.В идеале им следует разработать общую долгосрочную стратегию сохранения Интернета в его нынешней, несегментированной, поистине глобальной форме, что потребовало бы расширения масштабов существующих платформ, таких как Форум Организации Объединенных Наций по управлению Интернетом.
Благодарность: автор благодарит Филиппа Дитриха за его отличную поддержку в исследовании, написании и обсуждении этого анализа DGAP.
Защита персональных данных в России
6.2.1 Правовая база
Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые распространяется законодательство о защите данных, являются субъекты данных и операторы данных. Эти же идеи нашли отражение в законодательстве.
Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личные и семейные тайны, защиту чести и доброго имени». Конфиденциальность — это право контролировать информацию о себе. Право на неприкосновенность частной жизни является универсальным правом человека и признано как таковое Всеобщей декларацией прав человека и Европейской конвенцией о правах человека.Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека. Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных. Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека». До принятия специального законодательства в декабре 2005 г. Россия ратифицировала Конвенцию 1981 г. о защите физических лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы).Конвенция Совета Европы — это фундамент, на котором несколько стран построили свое законодательство о защите данных.
В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон № 149-ФЗ « Об информации, информационных технологиях и загрузите информацию » (Об информации, информационных технологиях и защите данных, Закон о защите данных) и Федеральный закон № 152-ФЗ « О персональных данных » (Закон о персональных данных). Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239).Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных — обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).
До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы. После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г.242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных. Активную роль в этой сфере играют президент России, правительство России и федеральные службы (подробнее см. Гл. 3).
6.2.2 Органы исполнительной власти
Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 г.1715). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре). Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных — обеспечение прав и свобод личности.В соответствии со статьей 23 Закона о защите данных Роскомнадзор может проводить расследования и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных. В результате деятельность Роскомнадзора направлена на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).
Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.
6.2.3 Основные категории законодательства о защите данных
Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных.Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные — это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных). Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al.2015, 2).
Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях. Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать человека (Терещенко, 2018, 152).Роскомнадзор никакими действиями не отреагировал на это нарушение. Как бы ни старался Пенсионный фонд обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др. 2015, 16).
Закон о персональных данных различает категории персональных данных.Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может осуществляться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.
В соответствии со статьей 3 (2) Закона о персональных данных, оператор — это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Есть определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных осуществляется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.
При сборе персональных данных операторы должны информировать субъектов об определенных требуемых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая эту обязанность на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.
Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.
Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).
Обработка данных — это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. Согласно статье 5 (7) Закона о персональных данных, один из принципов обработки данных заключается в том, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).
Согласие субъектов данных является неотъемлемой частью обработки персональных данных. Согласно статье 9 Закона о защите данных, физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.
В соответствии со статьей 9 (4) (4) закона, в некоторых случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Однако, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора по Центральному федеральному округу ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включают больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно было быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.
Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.
6.2.4 Передача за пределы России
Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).
6.2.5 Территориальная сфера применения
Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a).