В законодательство внесены изменения, связанные с ужесточением ответственности за утечку персональных данных. Ряд положений уже действуют, еще ряд вступят в силу через несколько месяцев. На вебинаре Staffcop ведущий юрист компании Ольга Попова рассказала о нововведениях, касающихся наказания за утечку персональных данных.
Новая статья УК
Законом № 421-ФЗ от 30 ноября 2024 г. предусмотрены поправки в Уголовный кодекс РФ, вступившие в силу 11 декабря 2024 г. Введена новая статья 272.1, устанавливающая ответственность за использование персональных данных, полученных незаконным путем; за сбор персональных данных (ПД) без согласия субъекта или за рамками такого согласия; за персональные данные несовершеннолетних; за создание ИТ-систем, предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем.
На вебинаре эксперт привела примеры и рассказала, что ведутся проверки. Одна из самых известных была вызвана сообщениями о массовой утечке у подрядчика «Ростелекома». Привлеченная оператором для организации обработки и защиты персональных данных компания не выполнила свои обязательства. Согласно закону, оператор может привлекать сертифицированную подрядную организацию для обработки и обеспечения защиты ПД. При составлении договора с такой компанией важно очертить зону ответственности – кто, когда и в каком объеме несет ответственность в случае утечки персональных данных, рекомендует эксперт.
Еще один пример, о котором шла речь на вебинаре, – из Екатеринбурга. Расположенный в этом городе автомобильный салон собирал персональные данные и передавал их с помощью интернет-ресурса на сайт другой организации. А та, в свою очередь, создала программу по обработке полученных ПД и делала соответствующие рассылки, что незаконно и указывает на совершение мошеннических действий.
Комментируя суть ответственности за сбор персональных данных без согласия субъекта или за рамками такого согласия, эксперт пояснила следующее. Например, субъект дал согласие на обработку ПД в целях заключения кредитного договора. А кредитная организация передала полученные данные рекламному агентству или страховой организации. В таком случае налицо нарушение установленных законом требований, что влечет за собой наступление ответственности.
В числе других законодательных новинок – понятие «трансграничное перемещение». До этого существовал термин «трансграничная обработка персональных данных», которые в электронном виде отправляются оператору, находящемуся на территории другого государства. Трансграничное перемещение означает, что ПД находятся на диске, флешке, в программе, ноутбуке, которые физически перевозятся через границу.
В то же время следует учитывать, что обработка персональных данных может производиться в личных целях, для семейных нужд. Например, можно составить онлайн-таблицу, в которой указаны дни рождения родственников или друзей, их адреса и т. п.
Большое внимание на вебинаре было уделено обязанностям и ответственности должностного лица, которое отвечает за информационную безопасность, а именно директору по информационной безопасности, или CISO (Chief Information Security Officer). В обновленном законодательстве ужесточена его ответственность за действия, связанные с корыстной заинтересованностью при исполнении должностных обязанностей.
Среди отягчающих обстоятельств для CISO в законе указаны причинение крупного ущерба, сговор (группа лиц по предварительному сговору), использование своего служебного положения. В подобных случаях штраф увеличивается до миллиона рублей, а срок возможного уголовного наказания – до десяти лет лишения свободы.
Эксперт рекомендует вдумчиво отнестись к составлению должностной инструкции директора по информационной безопасности, разграничению соответствующих зон его ответственности. В локальных нормативных актах организации следует уточнить, за что именно и какую ответственность несет CISO. Специалист должен понимать, что его должностные обязанности напрямую связаны с возможной уголовной ответственностью за допущенные правонарушения.
Отложенные нормы
Законом № 420-ФЗ от 30 ноября 2024 г. внесены поправки в Кодекс об административных правонарушениях. Однако в отличие от изменений в УК РФ эти нормы начнут действовать с 30 мая 2025 г. Поэтому есть время подготовиться – уточнить локальные нормативные акты, провести аудит систем, связанных с обработкой и защитой персональных данных, ресурсов, содержащих конфиденциальную информацию.
Предложенные в ст. 13.11 КоАП изменения касаются, в частности, неуведомления или несвоевременного уведомления о намерении начать обработку персональных данных (или несообщения об утечке); подачи двух уведомлений (о том, что произошел инцидент, и о начале соответствующего расследования); введения и изменения количественных критериев утечки; ответственности в случае утечки специальных (имеющих отношение, в частности, к здоровью, религии) и биометрических данных.
Изменение количественных критериев утечки означает, что сумма штрафа будет зависеть от количества субъектов, в отношении которых произошла утечка, количества идентификаторов (состава персональных данных, например, ФИО, год и место рождения, что помогает идентифицировать человека). По словам эксперта, Ивановых Иванов Ивановичей в России немало. А вот Ивановых Иванов Ивановичей 1980 года рождения, появившихся на свет, например, в г. Новосибирске – значительно меньше. Набор подобных сведений и служит идентификатором конкретного человека, облегчая поиск.
Законодательное нововведение касается утечки специальных и биометрических данных – вводится мера ответственности и увеличивается размер штрафа.
В отношении малого и среднего бизнеса штрафы увеличены ненамного. А отдельные их категории остались неизменными.
Несмотря на то, что сумма штрафа увеличена в случае массовой утечки, законодатели ввели условия для снижения оборотных штрафов.
Одно их таких условий – отчисления в размере 0,1% оборота организации на протяжении трех лет (до момента инцидента), направляемые на обеспечение защиты ПД. Для подобной компании сумма штрафа может быть сведена к минимуму. Еще одно смягчающее условие – соблюдение требований по информационной безопасности в течение 12 месяцев до момента наступления инцидента. Оборотный штраф может быть уменьшен также при отсутствии отягчающих обстоятельств (привлечения к ответственности, связанной с обработкой ПД).
Иными словами, частично избежать наказания (минимизировать санкции) сможет компания (организация, располагающая объектами КИИ), которая своевременно уведомила Роскомнадзор, применяет сертифицированные и рекомендованные средства защиты информации, включенные в реестр, использует незапрещенные средства мониторинга.
Один из вопросов слушателей вебинара касался срока уведомления регулятора о начале обработки персональных данных. Сообщить об этом следует до начала июня текущего года. Просрочка повлечет за собой административную ответственность, а значит, и наложение штрафа за несвоевременное уведомление.
Инцидент и порядок его расследования
Компании, в которых происходят утечки ПД, несут репутационные риски, вынуждены уплачивать штрафы, что приводит в итоге к недополученной прибыли.
На практике встречаются инциденты, связанные не только с обработкой персональных данных. К наиболее широко распространенным относятся разглашение финансовой информации, ведение проектов «на стороне», различные виды утечек персональных данных клиентов и коммерческой информации, продажа информационных систем, «слив» клиентской базы или активных заявок от клиентов.
Повышенное внимание следует уделять порядку расследования каждого подобного случая. В рамках вебинара эксперт предложила примерный сценарий действий.
На первом этапе необходимо зафиксировать инцидент в день его обнаружения или в день, когда стало известно об этом. Затем – запросить объяснительную у возможного виновника происшествия. Не исключено, что придется составить акт об отказе дачи объяснительной (отразить в нем место, привести описание, указать обстоятельства, связь событий).
В случае утечки персональных данных нужно сообщить об этом в Роскомнадзор, на что отводится 24 часа. Если речь идет об утечке на объектах критической информационной инфраструктуры (КИИ), сообщение направляется в НКЦКИ (ГосСОПКА) также в течение суток. Через 72 часа после инцидента организация обязана проинформировать Роскомнадзор о результатах расследования.
Эксперт напомнила также, что для наложения дисциплинарного взыскания есть не более шести месяцев. А на объявление решения виновнику инцидента отводится всего три рабочих дня (с момента принятия такого решения).
В защите интересов компании поможет система мониторинга, установленная в организации. Доступные на рынке решения позволяют определить, в частности, кто виноват в утечке. Это может быть, например, системный администратор или сотрудник, который игнорировал предусмотренные меры либо неправильно их использовал (несвоевременно обновил пароли, скачал из Сети ПО или шпионскую программу и т. п.).
Известно, что Роскомнадзор привлекает к сотрудничеству организации, которые анализируют случаи утечек, есть боты, собирающие информацию из телеграм-каналов, в которых производится незаконная обработка персональных данных. Наличие таких ботов предусмотрено внутренними инструкциями Роскомнадзора. О строго ограниченном перечне подобных инструментов известно только регуляторам (Роскомнадзору и Минцифры). Узнать, что это за боты и что именно они собирают, невозможно. По словам эксперта, законодатель не предоставляет инструмента для анализа правомерности действий самого государства.
