Изменения 152-ФЗ и оборотные штрафы за утечку персональных данных: что делать бизнесу
Отправить статью или инфоповод
12 октября 2022
1294
© Trzykropy/Shutterstock
С 1 сентября 2022 года в силу вступили изменения в законе №152-ФЗ «О персональных данных». В связи с этим, многим компаниям придется существенно перестроить свои бизнес-процессы, связанные с обработкой, хранением и передачей персональных данных. О том, как изменения в законодательстве повлияют на бизнес и какие действия предпринять компаниям, чтобы минимизировать финансовые затраты от нововведений, рассказывает Илья Тихонов, руководитель направлений «Комплаенс» и «Аудит» управления информационной безопасности Softline.
Илья Тихонов
Руководитель направлений комплаенс и аудит УИБ Softline
Что изменилось
Самые значимые для бизнеса изменения коснулись уведомлений об обработке персональных данных и биометрии, трансграничной передачи данных, а также правил уведомления об утечках и взаимодействия с ГосСОПКА.
Возросшее за последние полгода число утечек персональных данных привело к необходимости ужесточить ряд требований для повышения уровня информационной безопасности. Если раньше у компаний была возможность игнорировать некоторые требования 152-ФЗ, сегодня им придется обратить пристальное внимание на уровень информационной безопасности при работе с персональными данными, потому что достоверно известно о скором введение оборотных штрафов.
Трансграничная передача данных
Самые серьезные изменения произошли в области трансграничной передачи данных. В соответствии с современной редакцией закона, организациям необходимо передавать в Роскомнадзор уведомления о трансграничной обработке данных, а в некоторых случаях запрашивать разрешение на нее. Шаблоны соответствующих документов уже стали доступны на портале РКН.
Компании, у которых ранее уже был налажен процесс трансграничной передачи персональных данных, теперь обязаны уведомлять об этом Роскомнадзор. При этом, до начала осуществления передачи данных за границу, важно убедиться, что иностранным государством, на территорию которого осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных.
Полный перечень стран с адекватной защитой опубликован на сайте Роскомнадзора.
Нововведения в законодательстве, по сути, означают, что компаниям придется обосновывать регулятору необходимость передачи персональных данных и, возможно, раскрыть государству информацию о бизнесе с заграничными контрагентами.
Помимо этого, в некоторые страны фактически трансграничная передача данных может быть запрещена, что в свою очередь способно принести серьезные финансовые убытки бизнесу. Также, в связи с изменениями № 152-ФЗ, значительно усложнится и сам процесс трансграничной обработки данных.
Реестр обработки персональных данных
Еще одним нововведением стала необходимость для всех организаций в обязательном порядке становиться на учет в Реестр операторов обработки персональных данных. И, если у компании уже был налажен процесс работы с данными, теперь об этом обязательно уведомлять Роскомнадзор.
Многие организации настороженно относятся к данному изменению, считая, что это может привлечь излишнее внимание Роскомнадзора к их бизнесу.
По имеющейся информации, на сегодняшний день в реестр включено не более 15% всех организаций, поэтому в дальнейшем есть вероятность стимулирования процесса со стороны регулятора путем введения штрафов. Однако на данный момент нет свидетельств о штрафах компаниям, которые пока не подали данные в реестр. Но мы все же рекомендуем не затягивать этот процесс.
Полагаем, что как минимум до конца этого года штрафы введены не будут, поскольку официально действует мораторий на внеплановые и плановые проверки регуляторов. А значит, у компаний, которые еще не встали в реестр, есть время до конца года пройти внутренний аудит, подготовить организационные и технические меры и подать данные в реестр, не боясь получить штраф.
Уведомление об инциденте
Существенные изменения коснулись и правил уведомления об инциденте. Теперь, в случае утечки персональных данных, организация обязана в течение 24 часов сообщить об этом инциденте в Роскомнадзор и в течение 72 часов подать уведомление о результатах внутреннего реагирования.
Если же в компании произошла утечка, которая была обнародована СМИ и обнаружена Роскомнадзором до уведомления от компании, это может быть воспринято как факт сокрытия инцидента.
Для информирования об инцидентах, компании, осуществляющие обработку и передачу персональных данных, теперь обязаны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Хоть пока точный порядок не известен, предполагается, что для ряда организаций система ГосСОПКА будет доступна либо в упрощенном виде, например, через сервис Госуслуги, либо останется обязательной только для компаний, обрабатывающих определенные категории персональных данных, таких как биометрия или персональные данные более 10 тысяч человек.
У организаций фактически появляется еще одна обязанность — тщательно отслеживать утечки. Ведь если они своевременно не обнаружат утечку или ее обнаружат не они, это окажется нарушением правил уведомления об инциденте.
Поэтому в ближайшее время можно ожидать рост спроса на сервисы по контролю утечки персональных данных со стороны бизнеса. Крупные интеграторы уже давно используют эти сервисы и предлагают их своим клиентам.
Биометрия
Значительные изменения коснулись и обработки биометрических данных. Хотя начались они еще в конце прошлого года с изменений в законодательной базе.
Сегодня, с введением новых законов и правок, содержание биометрии становится непомерно дорогим из-за кратно возросших технических требований к ее защите. Поэтому организациям, не готовым инвестировать крупные суммы в построение дорогостоящей системы безопасности, мы рекомендуем максимально сократить обработку биометрии, если это возможно. Поскольку биометрия используется в системах СКУД, альтернативным вариантом станет использование СКУД без биометрии или выстраивание другой системы пропусков, что будет дешевле и эффективнее для бизнеса.
Оборотные штрафы
На сегодняшний день уже известны формулировки, которые Минцифры будут утверждать в КоАП РФ.
Ранее предлагалось ввести штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В новой редакции документа такой порядок штрафов предусмотрен только для компаний, действия которых привели к утечке баз данных, содержащих более 100 тысяч записей.
Пока неизвестно, когда новые штрафы будут введены, но, судя по тому, как активно продолжаются утечки персональных данных и насколько возросло их число в последнее время, тенденция к усилению регулирующих мер со стороны государства сохранится, поэтому и введение оборотных штрафов не заставит себя ждать.
Важно отметить, что по данным регулятора, в случае инцидента, для предприятий, соблюдающих организационные и технические меры по защите персональных данных, а также выполняющих требования законодательства, это станет смягчающим обстоятельством, что в ряде случаев способно привести к существенному сокращению суммы штрафа. Для бизнеса это может стать хорошим стимулом к осознанию необходимости выполнения требования № 152-ФЗ.
Выводы
В целом, можно сказать, что для организаций, которые и раньше соблюдали № 152-ФЗ, затраты от нововведений будут незначительными. При этом важно понимать, что закон «О персональных данных» действует с 2006 года и, если компания только сейчас начнет исполнять все требования законодательства, затраты будут большими. К тому же, чем позже организация начнет выполнять требования № 152-ФЗ, тем больше будут затраты. Поэтому бизнесу важно осознать, что регулятором даны четкие сигналы и нет иного пути, как начать выполнять требования законодательства в этом году, пока еще действует мораторий на регулярные проверки. И именно это время является идеальным, чтобы без наложения штрафов привести свои бизнес-процессы в соответствие с нормами закона.
Если вы заметили опечатку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Закрыть
Автоматизация бухгалтерии
для любого бизнеса
Попробовать бесплатно
Персональные данные: как защититься от штрафа
В прошлой статье мы рассмотрели актуальные изменения в порядке правового регулирования обработки персональных данных.
Сейчас, когда волнение, вызванное прошлогодними поправками к 152-ФЗ улеглось, владельцам сайтов особенно важно не терять бдительности – санкции явно ужесточили не в последний раз.
Пока штрафы выдают только за факт нарушения пунктов статьи 13.11 КоАП, но ситуация может вскоре измениться.
В День открытых дверей, который прошел 30 января 2018 года в центральном аппарате Роскомнадзора, представители регулятора рассказали, что трактовка пресловутой статьи 13.11 уже позволяет штрафовать организации за каждое из выявленных нарушений в отдельности. Например, за каждое неверно подписанное согласие – и без того возросшие суммы штрафов увеличатся в разы.
Предлагаем еще раз пройтись по пунктам чек-листа и убедиться, что сайт компании в безопасности. Итак, что делать, чтобы пройти проверку Роскомнадзора без потерь?
Перенести сайт в Россию и узнать адрес сервера
Базы персональных данных должны не только собираться, но и обрабатываться на территории России. Роскомнадзор может легко проверить информацию о местонахождении сервера, сделав запрос операторам связи.
Убедитесь, что сервер находится внутри страны и выясните его точный физический адрес, вплоть до здания.
Информацию можно запросить у техподдержки хостинг-провайдера или ЦОДа (центра обработки данных).
Подать уведомление об обработке ПДн в Роскомнадзор
Согласно закону “О персональных данных”, занятые в обработке компании обязаны уведомить о своей деятельности Роскомнадзор.
Отсутствие записи в Реестре – гарантированный штраф при проверке.
Уведомление в региональное отделение можно направить в электронном или печатном виде. После рассмотрения заявки РКН зарегистрирует компанию в Реестре операторов, осуществляющих обработку персональных данных.
Разработать Политику в отношении обработки ПДн и разместить ее в свободном доступе на сайте
В 2017 году 82% нарушений, выявленных Роскомнадзором, были связаны с отсутствием или ограничением доступа к этому документу.
Многие владельцы сайтов ошибочно посчитали, что достаточно “Политики конфиденциальности” и воспользовались шаблонами, свободно распространяемыми в интернете.
Чтобы избежать санкций:
- документ должен иметь название “Политика в отношении обработки персональных данных” и отражать виды обрабатываемых ПДн и цели обработки;
- “Политику” должен утвердить приказом владелец сайта;
- документ должен располагаться в свободном доступе в офисе, на сайте и в мобильном приложении компании (например, можно оставить ссылку в футере).
В 2018 году появились и новые аспекты.
- Во-первых, РКН разработал рекомендации по составлению “Политики”. Если раньше контролер проверял только наличие документа и доступ к нему, то теперь внимание будут обращать и на содержание.
Правовой статус рекомендаций пока неясен, но если нормы законодательно закрепят, то документ станет объемнее и будет требовать постоянного обновления.
В “Политике” лучше заранее указать состав ПДн, все цели, действия и условия прекращения обработки, а также сведения о привлекаемых к обработке третьих лицах.
Во-вторых, с перечнем персональных данных легко ошибиться уже сейчас.
После того, как Роскомнадзор фактически приравнял пользовательские данные к персональным, в документе нужно отразить и их.
Уведомлять пользователей об обработке ПДн
Проще и доступнее всего реализовать уведомление в виде дисклеймера на сайте. Текст предупреждения должен сообщать посетителю о том, что его данные обрабатываются и передаются аналитическим системам.
Дисклеймер поможет избежать штрафа и в том случае, если на сайте установлены системы аналитики: Google Analytics, Яндекс Метрика или любые другие.
Закон признает дисклеймер формой согласия.
Получить согласие на обработку от пользователей
Под каждой формой сбора данных нужно разместить текст соглашения или интерактивное поле, содержащее ссылку на “Политику”. IP-адреса выразивших согласие посетителей необходимо сохранять.
Распространенная практика, когда под всеми формами сбора прописан текст одного согласия на обработку, больше недопустима.
Разные формы собирают информацию в разных целях: для email-рассылок, звонков, пуш-уведомлений, отправки прайс-листов или буклетов и так далее.
Каждому виду цели должно соответствовать отдельное согласие. За идентичный текст на оператора налагаются штрафы.
Оставить email для связи с пользователями
Федеральный закон дает пользователям право запрашивать сведения об обработке их персональных данных, а также требовать их удаления или блокировки.
Чтобы оперативно реагировать на запросы, лучше создать отдельный email-ящик для работы с обращениями физлиц.
В общей почте письмо рискует затеряться.
Заключить договор безопасности с подрядчиками
Закон предписывает заключать соглашения об обеспечении безопасности ПДн со всеми третьими лицами, которых оператор привлекает в процессе обработки.
Например, такое соглашение придется подписать с агентством разработки или технической поддержки сайта, имеющим доступ к ПДн из базы данных или заявок.
Текст соглашения должен указывать перечень данных, доступных третьим лицам, цели их обработки и требования по защите ПДн.
Выполнив рекомендации каждого из представленных пунктов, владелец сайта сможет уберечь организацию от штрафов и блокировки.
Но, разумеется, кому-то повезло чуть меньше – в наиболее неоднозначной ситуации оказались те, кто использует в работе облачные CRM. О способах защиты их ресурсов поговорим отдельно в следующем материале.
Россия: Пересмотр процедуры обработки публично распространяемых данных
1 марта 2021 г. вступили в силу существенные поправки к Федеральному закону Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» («Поправки»). Поправки изменяют правила обработки общедоступных персональных данных и затрагивают предприятия, публикующие или использующие персональные данные в Интернете.
В частности, работодатели, которые публикуют личные данные сотрудников на веб-сайте, должны изучить Поправки и внедрить новые требования согласия. Субъекты данных теперь имеют более широкие полномочия по контролю и разрешению обработки своих данных в открытом доступе. Субъекты данных также имеют право потребовать, чтобы операторы данных, распространяющие их данные (и любая компания в цепочке обработки данных), прекратили передачу таких данных.
- Изменения исключают «обработку персональных данных, неограниченный доступ к которым предоставлен субъектом данных или по запросу субъекта данных (общедоступные персональные данные)» как законное основание для обработки данных. Это основание допускало обработку персональных данных без согласия субъекта данных.
- Существует новое определение «персональных данных, распространение которых разрешено субъектом данных» («публично распространяемые данные» или «PDD»): согласие, предоставленное в порядке, установленном Изменениями.
- Субъект данных может предоставить согласие на обработку ПДн непосредственно оператору данных, желающему распространить данные, или через информационную систему российского ЦПД, в которой фиксируются согласия субъектов данных и ограничения на обработку данных. Российский DPA еще не опубликовал положение о такой информационной системе.
- Оператор данных обязан опубликовать условия и запреты на обработку ПДн для широкой публики в течение трех рабочих дней с момента получения согласия субъекта данных.
- В случае, если субъект данных раскрывает свои персональные данные широкой публике без согласия оператора данных, то обязанность доказывания законности последующего распространения или иной обработки таких персональных данных лежит на каждой компании и/или физическом лице, которые распространяет или иным образом обрабатывает такие персональные данные.
Требования для получения согласия на обработку PDD в целом соответствуют GDPR с некоторыми отклонениями. Российское DPA также выпустило проекты Требований относительно содержания согласия на обработку PDD («Проект требований DPA»), которые еще не находятся в окончательной форме и которые мы резюмируем ниже:
| Согласие с требованиями обработки PDD: | Россия | GDPR |
| конкретный и информированный | ДА | ДА |
| однозначный | ДА — утвердительные способы подписки через (i) информационную систему оператора данных, ИЛИ (ii) информационную систему российского DPA, ИЛИ (iii) в письменной форме с мокрой или электронной подписью. | ДА – более широкие возможности для получения согласия, чем в проекте требований DPA |
| не в комплекте с другими согласиями на обработку данных | ДА | ДА |
| указать личность оператора данных и цель(и) обработки | ДА | ДА |
| указать цель каждой операции обработки, для которой запрашивается согласие | НЕТ | |
| указать личность субъекта данных | ДА | НЕТ |
| позволить субъекту данных выбирать персональные данные для распространения | ДА – требуется подробный список | ДА — тип данных достаточен |
| условия и запреты обработки ПДн | ДА — субъект данных имеет право: (i) запретить доведение до всеобщего сведения и/или предоставление определенным организациям/физическим лицам, (ii) запретить обработку (кроме предоставления доступа) ПДн для всеобщего сведения после такая публикация данных и/или (iii) устанавливает условия обработки (за исключением получения доступа) персональных данных широкой общественностью. | № |
| срок действия согласия | ДА — требуется точный срок действия согласия в соответствии с Проектом требований DPA | № |
| Интернет-ресурсы для PDD | ДА — веб-сайты и/или веб-страницы, на которых PDD публикуется в открытом доступе, должны быть перечислены в соответствии с Проектом требований DPA | НЕТ |
| указание в согласии на наличие права отозвать согласие | № | ДА |
Субъект данных имеет право отозвать согласие на обработку PDD в любое время, что соответствует праву на отзыв согласия, доступному до вступления в силу Поправок.
Запрос субъекта данных об отзыве согласия должен содержать полное имя субъекта данных, контактные данные и перечень обрабатываемых персональных данных, которые должны быть прекращены. Оператор данных должен прекратить передачу ПДн, в том числе их распространение, предоставление данных и любой доступ к ним после получения запроса субъекта данных.
Какие санкции предусмотрены за несоблюдение Поправок?Поправки не вводят новых санкций за несоблюдение. Это означает, что будут применяться общие нарушения защиты данных. Несоблюдение новых требований к обработке ПДн может влечь за собой административные штрафы за обработку персональных данных без наличия законных оснований, предусмотренных законодательством Российской Федерации о конфиденциальности. В пояснительной записке к проекту поправок, предоставленной законодателем, также говорится о вышеуказанном правонарушении в отношении защиты данных.
Последние идеи
Больше информацииОблако 152-ФЗ для безопасного хранения персональных данных
Что определяет Закон о персональных данных (152-ФЗ) как персональные данные?
Согласно закону, любая идентифицирующая информация о человеке считается персональными данными, включая имя, контактные данные, пол и так далее.
Закон распространяется как на клиентов, так и на сотрудников. Другими словами, если вы работаете с людьми, вы почти наверняка подпадаете под действие Закона о персональных данных.
Кто является оператором персональных данных по 152-ФЗ?
В рамках Закона о персональных данных любое лицо, обрабатывающее персональные данные, считается «оператором». Достаточно вести личный учет, использовать CRM или отслеживать посетителей сайта с помощью Яндекс Метрики или Google Analytics.
Компании, работающие в сфере финансовых услуг, здравоохранения, образования, гостиничного бизнеса, телекоммуникаций, рекламы и розничной торговли, наиболее подвержены проверкам со стороны регулирующих органов.
В контексте 152-ФЗ системы обработки персональных данных представлены бизнес-приложениями, почтовыми системами, службами каталогов (например, Microsoft Active Directory, Novell eDirectory) и другим широко используемым программным обеспечением.
Какие требования 152-ФЗ?
Закон обязывает компании, работающие в России, хранить и обрабатывать персональные данные локально, настраивать бизнес-процессы и внутренние политики, а также применять технические решения для их защиты.
В зависимости от вида персональных данных законом установлены разные требования безопасности, которые подробно описаны в п. 8 Постановления Правительства России от 1 ноября 2012 г. № 1119.
Почему соблюдаются 152-ФЗ аудиты нужны?
Компании, обрабатывающие большие объемы персональных данных, сталкиваются с рисками, связанными с несанкционированным доступом, потерей данных и, как следствие, значительным репутационным ущербом.
Уязвимости в информационных системах и недостатки в бизнес-процессах и документации могут привести к претензиям со стороны властей и повлечь за собой штрафы.
Аудит предоставит четкую и независимую оценку соответствия 152-FL, поможет выявить проблемные области и предложит необходимые обновления. Документация, предоставленная по результатам проверки, и меры, принятые в соответствии с ней, обеспечат законность обработки персональных данных в компании.
Кто является государственным регулятором по делу 152-ФЗ?
Роскомнадзор, ФСБ и ФСТЭК.
Роскомнадзору разрешено проводить проверки и принимать решения о санкциях.
Какая ответственность предусмотрена за нарушение 152-ФЗ?
Нарушения законодательства о персональных данных (152-ФЗ) влекут за собой все виды ответственности: гражданско-правовую, дисциплинарную, административную и уголовную.
В соответствии с ТК РФ лица, осуществляющие обработку персональных данных, несут ответственность за прямое возмещение убытков, причиненных ненадлежащим обращением с персональными данными.
Гражданский кодекс Российской Федерации позволяет гражданину требовать от организации возмещения морального или материального вреда, причиненного ненадлежащим обращением с персональными данными.
Административная ответственность в зависимости от совокупности нарушений включает штрафы в размере до 100 000 рублей на физических лиц, до 800 000 рублей на должностных лиц, до 20 000 рублей на индивидуальных предпринимателей, до 18 миллионов рублей на организации.
Уголовная ответственность за нарушение законодательства о персональных данных может быть квалифицирована по ряду статей, предусматривающих наказание вплоть до лишения свободы на срок до 4 лет.
Роскомнадзор вправе блокировать сайты нарушителей Закона о персональных данных.
Оператор персональных данных вправе поручить операции с персональными данными третьему лицу, именуемому процессором. Однако ответственность оператора ограничена: оператор определяет цели и порядок обработки персональных данных и несет ответственность перед государством и субъектами персональных данных.
Как разграничены зоны ответственности между оператором и обработчиком в контексте 152-ФЗ?
При обработке персональных данных в облаке по модели «инфраструктура как услуга» (IaaS) можно четко разграничить ответственность оператора и обработчика.
Процессор несет ответственность за соответствие аппаратного и программного обеспечения требованиям закона вплоть до уровня гипервизора.
Оператор несет ответственность за установленные виртуальные машины, операционные системы и приложения.
По умолчанию за информационную безопасность отвечает оператор, но он может поручить процессору предоставлять соответствующие услуги в рамках модели «Безопасность как услуга» (SECaaS).
