Какие изменения претерпел закон "О защите персональных данных"

Какие изменения претерпел закон "О защите персональных данных"

1 января 2014 года вступили в силу изменения к Закону Украины "О защите персональных данных" (далее — "Закон"). Среди основных изменений необходимо отметить следующие.

Новый уполномоченный орган в сфере защиты персональных данных

Согласно Закону, функции Государственной службы Украины по вопросам защиты персональных данных — уполномоченного органа в сфере защиты персональных данных — передаются Уполномоченному Верховной Рады Украины по правам человека (далее — "Омбудсмен"). Кроме того, полномочия Омбудсмена были значительно расширены.

Так, Омбудсмен имеет право проводить выездные и безвыездные, плановые и внеплановые проверки владельцев и распорядителей персональных данных. Причем порядок проведения таких проверок утверждается самим Омбудсменом. Основанием для проведения внеплановой проверки может быть обращение или жалоба физического или юридического лица, наличие фактов или информация о нарушении законодательства о защите персональных данных, а также инициатива самого Омбудсмена. 

По результатам проведения проверки или рассмотрения обращения или жалобы от физического или юридического лица Омбудсмен имеет право выдавать обязательные для выполнения требования (предписания), составлять протоколы о привлечении к административной ответственности и передавать их на рассмотрение в суд.

Кроме того, Омбудсмен имеет право доступа к любой информации (документам) владельцев или распорядителей персональных данных, в том числе право доступа к самим персональным данным. Необходимо отметить, что Государственная служба Украины по вопросам защиты персональных данных ранее не имела права доступа к самим персональным данным.

Также Омбудсмен уполномочен предоставлять рекомендации относительно практического применения законодательства о защите персональных данных, утверждать нормативно-правовые акты в сфере защиты персональных данных, а также выдавать заключения относительно проектов кодексов поведения в сфере защиты персональных данных.

Поскольку изменения к Закону вступили в силу только 1 января 2014 года, еще пока рано судить или характеризовать деятельность Омбудсмена, однако сам факт предоставления ему достаточно широких полномочий в сфере контроля может способствовать усилению давления со стороны контролирующих органов на бизнес.

Отмена обязательной регистрации баз персональных данных

Закон отменяет обязательную регистрацию баз персональных данных, однако Закон вводит требование об обязательном уведомлении Омбудсмена в случае, если владелец персональных данных производит обработку персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных. 8 января 2014 года Омбудсмен разъяснил, обработка каких персональных данных представляет особый риск для прав и свобод субъектов персональных данных, а именно это персональные данные относительно:

  • расового, этнического и национального происхождения;
  • политических, религиозных или мировоззренческих убеждений;
  • членства в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;
  • состояния здоровья, половой жизни;
  • биометрические или генетические данные;
  • привлечения к административной или уголовной ответственности;
  • применения к лицу мер в рамках досудебного расследования или мер, предусмотренных Законом Украины "Об оперативно-розыскной деятельности";
  • совершения в отношении лица тех или иных видов насилия;
  • местонахождения и/или путей передвижения лица.

Такое уведомление должно быть сделано на протяжении 30 дней со дня начала такой обработки. Также владельцы персональных данных обязаны уведомлять Омбудсмена о каждом изменении сведений, подлежащих уведомлению, в течение 10 дней со дня наступления такого изменения.

Владельцы персональных данных, которые на момент вступления в силу изменений к Закону (т.е. по состоянию на 1 января 2014 года) осуществляют обработку персональных данных, которая подлежит уведомлению, обязаны подать соответствующее уведомление Омбудсмену в течение 6 месяцев со дня вступления изменений в силу, т.е. до 1 июля 2014 года.

В целом отмена обязательной регистрации персональных баз данных является позитивным нововведением. Также учитывая, что на практике достаточно немного компаний осуществляют обработку выше указанных персональных данных, есть основания надеяться, что эта норма Закона будет иметь лишь позитивное влияние на бизнес-среду в Украине.

Другие изменения

Из Закона было удалено определение "согласие субъекта персональных данных". Таким образом, Закон не устанавливает форму, в которой согласие должно быть предоставлено. Однако Омбудсмен разъяснил , что согласие может быть предоставлено как в письменной форме, так и в электронной форме, которая дает возможность сделать заключение о ее предоставлении.

Также был дополнен перечень оснований для обработки персональных данных. Так, согласие субъекта персональных данных на обработку его персональных данных не требуется, если такая обработка вызвана необходимостью исполнения владельцем или распорядителем персональных данных его обязанностей, предусмотренных законом.

Кроме того, срок уведомления субъекта персональных данных о владельце персональных данных, содержание собранных персональных данных и его правах, предусмотренных Законом, в некоторых определенных Законом случаях, был продлен с 10 до 30 дней.

Типовой порядок обработки персональных данных

8 января 2014 года Омбудсмен утвердил Типовой порядок обработки персональных данных (далее — "Порядок"), в котором детализируются многие положения Закона. Однако в Порядке нашли отображение и достаточно много нововведений. Так, владельцы и распорядители персональных данных обязаны осуществлять меры по обеспечению защиты персональных данных, которые, предусматривают обязанность владельцев и распорядителей персональных данных, среди прочих:

  • вести учет операций, связанных с обработкой персональных данных;
  • разработать план действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования или возникновения чрезвычайных ситуаций;
  • проводить регулярное обучение сотрудников, которые работают с персональными данными.

В целом изменения к Закону, которые вступили в силу 1 января 2014 года, можно считать позитивными, поскольку отменяется обязательная регистрация баз персональных данных, устанавливаются дополнительные основания для обработки персональных данных, которые позволят сократить количество случаев, в которых необходимо получать согласие субъекта персональных данных.

Однако среди возможных негативных нововведений следует отметить расширение полномочий Омбудсмена, что может привести к увеличению давления контролирующих органов на бизнес-среду. Также уточненные и детализированные требования к обработке персональных данных, изложенные в Порядке, несут в себе достаточно много новых и обременительных требований для владельцев и распорядителей персональных данных. А их несоблюдение может привести к административной, а в самых крайних случаях, даже к уголовной ответственности должностных лиц владельцев и распорядителей персональных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru