Продолжение поста «152-ФЗ: "Перечень нормативно-правовых актов, обязательных для оператора персональных данных"»
Штрафы за нарушение закона о персональных данных в 2024 году.
Минцифры РФ предлагает установить оборотные штрафы за утечку персональных данных в размере от 5 млн. до 500 млн. рублей. В статье разбирались, что нужно учесть бизнесу ввиду возможных серьезных санкций
Опасность утечки персональных данных для бизнеса:
Проблема утечки персональных данных в настоящее время приобретает особую остроту. За 2022-2023 годы количество утечек значительно возросло. Базы персональных данных, полученные незаконным путем, используются в мошеннических целях, а также внешние атаки могут совершаться хакерами вследствие нестабильной политической ситуации.
Ошибочно полагать, что это касается только крупного бизнеса (Яндекс, 1С и пр.).
Согласно статье 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) на каждом операторе персональных данных (даже если компания обрабатывает только данные сотрудников) лежит обязанность принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
На практике хакерским и иным атакам извне подвергается и малый бизнес. Так, один из наших клиентов подвергся атаке со стороны хакерской группы на его интернет-магазин, в результате чего данные клиентов, оставшиеся в CMS-системе сайта, были выложены в публичном доступе в Телеграм-канале. Это нарушение зафиксировал Роскомнадзор и официально потребовал от компании подачи уведомлений о факте неправомерной или случайной передачи персональных данных, а затем составил протокол об административном правонарушении.
Такие тенденции порождают ужесточение правового регулирования. Согласно публичным источникам, в марте этого года Минцифры внесло в Госдуму два законопроекта, касающихся персональных данных. Ведомство начало их разработку ещё в 2022 году.
В соответствии с этими законопроектами:
Предлагается введение оборотных штрафов за утечку персональных данных до 3% от оборота компании (от 5 до 500 млн. рублей).
Планируется изменить Уголовный кодекс и ввести наказание для лиц, которые украли, продали персональные данные либо создали порталы для сделок по незаконному обороту личной информации (ст.ст. 272, 273 и 274 УК РФ) - штраф от 300 тыс. рублей до 3 млн. рублей, лишение свободы на срок — до 10 лет, за намеренное распространение персональных данных граждан.
На сегодняшний день отдельного состава административного правонарушения за утечку именно персональных данных пока не предусмотрено. Имеется состав «разглашение информации с ограниченным доступом» (ст. 13.14 КоАП РФ), под которую подпадают и персональные данные. Штраф для юридических лиц по этой статье составляет до 200 тыс. рублей, для должностных лиц, получивших доступ к персональным данным в связи с исполнением служебных обязанностей – до 50 тыс. рублей.
Также за разглашение персональных данных предусмотрена гражданско-правовая ответственность в виде обязанности возместить убытки, а также компенсировать моральный вред.
Самый высокий штраф сейчас предусмотрен за нелокализацию персональных данных на территории РФ, то есть обязанность сбора персональных данных на сервер в России, - до 8 млн. рублей (ч.ч. 8, 9 ст. 13.11 КоАП РФ). На практике он накладывался в основном на крупные иностранные компании – Гугл, Линкед Ин.
Новые возможные санкции за утечку могут сильно ударить по бизнесу с финансовой стороны: не все могут позволить себе высокотехнологические средства защиты информации, а также компенсировать ущерб всем пострадавшим от утечки гражданам (что потенциально рассматривается Минцифры в качестве смягчающего обстоятельства в случае наложения оборотного штрафа). Также компаниям самостоятельно нужно будет доказывать невиновность (например, в деле об утечке Яндекс признали потерпевшим в результате атаки на сервер).
Обязанности оператора при утечке персональных данных.
С 1 марта 2023 года действует Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.
Операторы обязаны подавать в Роскомнадзор уведомления о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
Первичное уведомление предоставляется в течение 24 часов и должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению. Дополнительное уведомление предоставляется в течение 72 часов и должно содержать информацию о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены).
За непредоставление уведомлений об утечке на организацию может быть наложен штраф до
5 000 рублей (ст.19.7 КоАП РФ).
Рекомендуемые минимальные меры
Проблема утечки персональных данных связана не только с хакерской активностью и незащищенностью с точки зрения информационной безопасности, но и с тем, что внутри компании не регламентируются или минимально регламентируются процессы обработки персональных данных и работа с конфиденциальными документами.
Для того чтобы работники понимали свою ответственность, связанную с обработкой персональных данных, следует взять у них под роспись обязательство о неразглашении конфиденциальной информации или заключить соглашение о конфиденциальности в части персональных данных, с которыми они работают.
Также рекомендуется компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц. Это позволит своевременно и грамотно сообщать Роскомнадзору о фактах утечки.При этом важно понимать, что у операторов персональных данных должен быть разработан целый пакет внутренних документов, которые регламентируют вопросы охраны персональных данных. Также важно фактически внедрять регламенты работы с персональными данными (в том числе их правильного хранения).
152-ФЗ: "Перечень нормативно-правовых актов, обязательных для оператора персональных данных"
Документы, которые определяют порядок работы с персональными данными:
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Трудовой кодекс Российской Федерации.
3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об особенностях обработки персональных данных в информационных системах».
4. Постановление Правительства РФ от 15.09.2008 № 687 «Об особенностях обработки персональных данных на бумажных носителях».
Документы, которые регулируют порядок проведения проверок органами Роскомнадзора:
1. Постановление Правительства РФ от 16.03.2009 № 228 определяет структуру органов Роскомнадзора, функции и зону ответственности подразделений.
2. Постановление Правительства РФ от 29.06.2021 № 1046 устанавливает правила и порядок прохождения инспекционных проверок органами Роскомнадзора: права и обязанности инспекторов и операторов персональных данных, виды и сроки проверок, документы и пр.
3. Приказ Министерства связи и массовых коммуникаций РФ от 14.11.2011 № 312 утверждает административный регламент по порядку прохождения инспекционных проверок органами Роскомнадзора не только в области персональных данных, но и в сфере связи, информационных технологий и массовых коммуникаций. Документ будет полезен, если вы захотите оспаривать результаты проверки Роскомнадзора.
Работодателю необходимо изучить ряд дополнительных нормативно-правовых актов, которые касаются отдельных видов информации, описывают порядок работы для коммерческих компаний и государственных учреждений и пр. Универсального перечня нормативных правовых актов, на которые должен опираться каждый работодатель, не существует. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
Что вы думаете об онлайн-курсах? Поделитесь мнением!
Онлайн-курсов становится все больше, и нам интересно собрать статистику, чтобы лучше понимать запросы читателей Пикабу.
Пожалуйста, поделитесь своим мнением!
И опять СДЭК
Слов нет. СДЭК да ебанный в рот когда вы мудаки закроете у себя дыру в безопасности? Ну заебали честное слово , говорят об этом и пишут уже много лет , но вам похуй! Отправил посылку СДЭК два дня назад и кто мне за это время только не позвонил.
ГИС ЖКХ, не слишком ли много ты хочешь?
Пытаюсь зарегистрироваться на ГИС ЖКХ, и оно запрашивает:
А зачем им мой военный билет или загранпаспорт? Или список организаций? Куда можно написать что они охренели в край?
Нужно ли что-то предпринимать
Поскольку QIWI приказал долго жить, оформлял себе счетец в МТС-банке для оплаты всяких стимов. Через 3 дня после сего действа на почту приходит скам с угрозами, в качестве подтверждения которых указаны мои номера паспорта и снилс. Я не знаю, где утечка, но факт ухода данных моих документов налево есть.
По идее, паспорт+снилс это уже совсем нехорошо. Стоит ли на всякий случай поменять паспорт, или это бессмысленно? Он ведь просто обновится при очередном сливе где-нибудь?
@MTS, прокомментируйте как-нибудь.
Что делать, когда утекли все данные в сеть?
Все доброго времени суток. Пару дней назад пришло спам письмо на email, вроде бы письмо, как письмо, но содержание немного меня заинтересовало, т.к. в нем были полностью прописаны все мои данные, а именно:
• паспортные данные полностью, включая кем и когда выдан паспорт (первая и вторая страница паспорта)
• номер телефона
• номер СНИЛС
• номер ИНН
Письмо было "вымогательного" характера, мол заплати через крипту 60.000₽ иначе твои фото и видео с фронтальной и задней камеры твоего телефона буду разосланы всему списку твоих контактов. За день до получения данного скрипт/спам письма началась смс спам атака, похожая на бомбер, подумал я. В действительности это оказались реальные сообщения от микрофинансовых организаций, содержание которых включало подтверждение займа с их стороны и ссылки на окончательное оформление этих займов. Эти письма и звонки приходят по сей день. Я предполагаю, что такие данные есть только на госуслугах, иначе попросту им не от куда "утечь", поправьте, если не прав.
Прошу совета у людей, которые, возможно, знают что в таких случаях нужно предпринять (если вообще что-то можно) или которые сталкивались с данной неприятной ситуацией. Заранее благодарю за дельные советы.
Ответ на пост «СКБ Контур нарушает 152 ФЗ РФ»
У меня с выпуском УКЭП в этой конторе другая история:
Выпустил в прошлом году, а через пару-тройку месяцев сертификат по техническим причинам нужно было досрочно отозвать. Оказывается, что бы его отозвать, нужно лично приехать в офис представителя и написать заявление. Не по звонку, не в личном кабинете, а именно через бумажное заявление. Трудно представить, каких дел мог успеть наворотить злоумышленник, если бы ключ оказался по-настоящему скомпрометированным.
Это ещё не всё: Ни раньше ни позже, а примерно за месяц до того момента, когда у выпущенного УКЭП закончился бы срок действия, если бы я его не отозвал, на электронную почту начали приходить уведомления о скором окончании срока действия УКЭП, а чуть позже начались звонки менеджеров этой конторы с таким же напоминанием. Про факт, что УКЭП уже полгода не действует, никто не в курсе.
т.е. сценарий с досрочным отзывом сертификата у них не проработан вообще никак! А ведь это не rocket science, а весьма вероятный "клиентский путь"!
И при этом, контора позиционирует себя как "Высокотехнологичная IT компания". Остаётся только догадываться, какие косяки есть в их "Экосистеме для бизнеса" при таком подходе.
UPD. Что-то я смотрю, все агрятся по теме отзыва сертификата. А "клиентоориентированность" в напоминании выпустить УКЭП через ПОЛГОДА после его отзыва никого не смущает?
Уже писал про подобную ситуацию у предприятия "Лидера рынка ИТ" - Технологии или назойливость?