Что нужно знать про новые штрафы в области ПДн?

С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их совершение. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании.

Новые нормы вводят уголовную ответственность за:

• неправомерное использование, передачу или хранение данных, полученных незаконным путем;
• создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных;
• нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персональных данных.

В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлекли тяжкие последствия.

В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные.

От чего зависит размер штрафа за утечку?

Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные.
1. Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов – 3–5 млн руб.
2. 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5–10 млн руб.
3. Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб.

Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КОАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц.

Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб.

Если компания выявила факт утечки, она обязана в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и в течение 72 часов подать итоговый отчет с указанием причин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб.

Что же такое "идентификатор"?

Нетрудно заметить, что размер штрафа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов".

Идентификатор, согласно КОАП, это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не вполне понятным, как соотнести понятия "идентификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование.

Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, которая усложнит и затормозит рассмотрение административных дел.

Смягчающие обстоятельства

В принятых поправках написано, что назначается 1/10 от минимального размера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий:
1. Расходы компании на ИБ за три года составляли не менее 0,1% от совокупного размера суммы выручки.
2. Для выполнения работ по ИБ привлекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии.
3. Есть документальные подтверждения соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности.
4. Отсутствуют отягчающие обстоятельства (они тоже вводятся поправками).

Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утечку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распространяется на компании, использующие нелегально приобретенные базы данных.

Как минимизировать риски?

Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем.

Важные шаги:
1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
2. Утвердите нормативные документы, регулирующие работу с ПДн.
3. Объясните работникам, как правильно обрабатывать персональные данные и предотвращать утечки.
4. Внедрите сертифицированные системы защиты информации.

Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обработка избыточных ПДн должно стать невыгодным для компаний.

Из новых правил вытекают высокие стандарты в области защиты персональных данных. Для успешного соблюдения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты.

Памятка по новой ответственности в области персональных данных

Новогодние рецепты против оборотных штрафов

Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Помогут ли эти меры существенно изменить ситуацию? Валерий Нарежный ответил на вопросы редакции журнала “Информационная безопасность”, заданные экспертам по информационной безопасности.

Изменит ли введение оборотных штрафов ситуацию с утечками персональных данных?

Оборотные штрафы, безусловно, подстегнут крупные компании к существенному увеличению инвестиций в инфраструктуру информационной безопасности – ведь это может послужить по новому закону смягчающим обстоятельством при назначении наказания. Вероятно, со временем, когда начнет проявляться эффект от таких инвестиций, крупных утечек станет меньше. Для малого бизнеса, скорее всего, тренд на рост числа утечек сохранится, поскольку у него нет достаточных средств на построение защиты и дорогостоящих специалистов в области приватности.

Три первоочередные меры, которые помогут избежать оборотных штрафов

1. Выстраивание системы комплаенса в области персональных данных.
2. Наличие в компании высококвалифицированных DPO и специалиста по информационной безопасности, а также привлечение соответствующих профессиональных и, в необходимых случаях, лицензированных подрядчиков.
Недопущение возникновения отягчающих обстоятельств, предусмотренных КоАП РФ.

Три ошибки, которые увеличат шанс на получение оборотных штрафов

1. Допущение повторной утечки данных, если компания ранее привлекалась к ответственности за утечку.
2. Непринятие должных мер по информационной безопасности либо невозможность подтвердить их выполнение.
3. Нарушение требований закона по реагированию на утечку при ее выявлении.

Достаточно ли текущих мер для защиты ПДн, или необходимы дополнительные инициативы на государственном уровне?

Очевидно, что рост числа и объемов утечек персональных данных имеет множество причин комплексного характера. Одними лишь запретительными мерами эффективно бороться с утечками невозможно. Не менее важно, чтобы начала меняться психология людей. Чтобы незаконные действия с персональными данными, халатность в их отношении все в большей степени воспринимались людьми – особенно должностными лицами организаций – как действия, наносящие кому-то реальный и весьма существенный ущерб.