тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Как сообщить в Роскомнадзор об утечке персданных?

By 18.01.2024 Информационная безопасность 0 Comments

Как сообщить в Роскомнадзор об утечке персданных?

По данным DLBI, за 2023 год в России произошло более 290 утечек персональных данных. В результате, в открытом доступе оказались 240 млн уникальных номеров телефона и 123 млн электронных адресов граждан. Для сравнения: годом ранее в интернет попало 99,8 млн уникальных e-mail-адресов и 109,7 млн телефонных номеров.

Всего, согласно данным Роскомнадзора, в 2023 году суды рассмотрели 87 составленных ведомством протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более ₽4,6 млн.

Законопроект, вводящий оборотные штрафы за утечки данных, риска подделки утечек не оговаривает. Глава профильного комитета Госдумы Александр Хинштейн подтвердил, что этот аспект не поднимался в ходе работы над законопроектом.

Поэтому компаниям придется самим вырабатывать методы оперативного расследования инцидентов и «их грамотного опровержения». Например, публично и оперативно проводить проверку данных в слитых базах, будь то ФИО клиентов или номера карт, которые в каждом банке имеют уникальные комбинации цифр, так что выдать ее за карту якобы жертвы уже не удастся.

А с начала 2024 года утекло более 116 млн строк данных пользователей объёмом 5 ТБ, что на 10% больше, чем за тот же период прошлого года — 324 тыс e-mail-адресов и 274,9 тыс номеров телефонов:

По количеству опубликованных данных в начале года первое место занял финансовый сектор (115,2 миллиона строк). Также от утечек пострадали отрасли телекома, ритейла, госсектора, услуг и ИТ

рассказал руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско.

При этом, представитель Роскомнадзора сообщил, что в указанный период операторы персональных данных не направляли регулятору уведомлений об утечках. Законом за непредставление или представление неполной или недостоверной информации предусмотрена административная ответственность (ст. 19.7 КоАП РФ) — штрафы от 1 до 3 млн рублей.

Расскажем, как правильно подать уведомление и взаимодействовать с Роскомнадзором в случае утечки, неправомерной передачи (предоставления, распространения, доступа) ПДн.

Виды уведомлений и сроки подачи

Роскомнадзор, Приказом от 14.11.2022 № 187, вступившим в силу 1 марта 2023 года, утвердил порядок и условия взаимодействия с операторами персональных данных при возникновении инцидентов, связанных с конфиденциальностью, в частности, при их утечке и попадании в открытый доступ или к третьим лицам.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» обязывает операторов ПДн данных уведомлять Роскомнадзор о случаях неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов таких данных.

В частности, необходимо сообщать в ведомство (ч. 3.1 ст. 21 Закона № 152-ФЗ): в течение 24 часов – о произошедшем инциденте (первичное уведомление), в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).

В первичном уведомлении указываются сведения:

  • о произошедшем инциденте — дата и время выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована. Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
  • о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
  • о предполагаемом вреде, нанесенном правам субъектов персональных данных;
  • о принятых мерах по устранению последствий инцидента;
  • о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
  • иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии таких сведений).

Кроме того, в уведомлении приводятся данные направившего его оператора:

  • ФИО гражданина или ИП;
  • полное и сокращенное наименование организации;
  • ИНН организации, ИП или физического лица;
  • адрес регистрации по месту жительства (пребывания) физического лица или ИП;
  • адрес организации в пределах его места нахождения;
  • адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.

В дополнительном уведомлении указываются сведения:

  • о результатах внутреннего расследования инцидента (о причинах, повлекших нарушение прав субъектов персональных данных и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
  • о лицах, действия которых стали причиной инцидента (ФИО физлица или ИП, наименование юрлица, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и устройств, иные сведения).

Уведомления можно направить на бумажном носителе или в форме электронного документа:

  • уведомление на бумаге направляется по адресу места нахождения Роскомнадзора;
  • уведомление в электронном виде направляется путем заполнения формы на портале персональных данных Роскомнадзора (после прохождения идентификации и аутентификации через ЕСИА) и подписывается электронной подписью.

Получив первичное уведомление оператора, Роскомнадзор направляет на указанный в уведомлении адрес электронной почты информационное письмо, в котором называет дату и время передачи уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного.

Что важно учесть?

Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.

Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.

Если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).

Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.

Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.

Ответственность за утечки

На сегодняшний день, ответственность за утечку персональных данных (обработку без согласия субъектов персональных данных) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:

  • на граждан – от 6 000 до 10 000 рублей;
  • на должностных лиц и ИП – от 20 000 до 40 000 рублей;
  • на организации – от 30 000 до 150 000 рублей.

Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

  • на граждан – от 10 000 до 20 000 рублей; на должностных лиц – от 40 000 до 100 000 рублей;
  • на предпринимателей – от 100 000 до 300 000 рублей;
  • на организации – от 300 000 до 500 000 рублей.

Если вам интересна тема соблюдения требований регуляторов в сфере персональных данных, рекомендуем ознакомиться с другими полезными материалами:

Ответственность за несоблюдение требований по ПДн

Всё о проверках Роскомнадзора, ФСТЭК, ФСБ

Отличие соглашения о поручении на обработку от передачи ПДн

Трансграничная передача ПДн: шпаргалка

Обработка и защита ПДн: кто ответственный?

«Сайт на Тильде. Что делать с ПДн?»

Защита персональных данных: актуальные требования, способы защиты

Как выполнить требования к уровню защищённости ИСПДн

Всё об аттестации ИС по требованиям ФСТЭК

Чек-лист по выполнению требований 152-ФЗ