Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (май 2024)

Дата: 31.05.2024 г.
Автор статьи: Мария Моисеева — Ведущий специалист по защите информации

Термины, сокращения и определения

Единая биометрическая система (ЕБС) — Государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», которая содержит биометрические персональные данные физических лиц, векторы единой биометрической системы и иную предусмотренную информацию, которая используется в целях осуществления идентификации, аутентификации с использованием биометрических персональных данных физических лиц, а также в иных правоотношениях в случаях, установленных законодательством Российской Федерации, и оператором которой является определенная Правительством Российской Федерации организация.

Минцифры России — Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Ключевые изменения в законодательстве, регулирующем область персональных данных по состоянию на 31.05.2024

1. Минцифры России подготовило поправки ко второму чтению рассматриваемого Госдумой законопроекта об ужесточении ответственности за утечки ПДн. Предлагается, в частности, снижать размер оборотного штрафа при единовременном соблюдении оператором всех нижеследующих требований:

•  Осуществление оператором ежегодных расходов в течение не менее трех лет, предшествующих утечке, на мероприятия по обеспечению информационной безопасности.
• Соблюдение оператором требований к защите ПДн при их обработке в информационных системах ПДн, с документальным подтверждением, что соответствующие мероприятия проведены не ранее чем за год до момента выявления административного правонарушения. Также не должно быть обстоятельств, отягчающих административную ответственность за утечки ПДн.
• Выплаты в связи с утечками ПДн не менее чем 80% от общего количества пострадавших субъектов ПДн, которые выразили готовность принять такую компенсацию.
• Осуществление предлагаемой денежной выплаты (в случае принятия соответствующего решения оператором) повлечет необходимость уведомления оператором субъектов ПДн о случившимся инциденте и возможности получения ими соответствующей выплаты.

2. Президент России поручил к 01.09.2024 создать единую цифровую платформу в сфере туризма, предусматривающую сбор и передачу данных о гостиницах, объектах общественного питания, работы гидов и транспорта, и идентификацию, в том числе с применением единой системы идентификации и аутентификации и (или) единой биометрической системы (ЕБС), участников рынка туристских услуг, использующих указанную цифровую платформу, для повышения прозрачности и безопасности рынка этих услуг.