Как сообщить в Роскомнадзор об утечке персданных?
По данным DLBI, за 2023 год в России произошло более 290 утечек персональных данных. В результате, в открытом доступе оказались 240 млн уникальных номеров телефона и 123 млн электронных адресов граждан. Для сравнения: годом ранее в интернет попало 99,8 млн уникальных e-mail-адресов и 109,7 млн телефонных номеров.
Всего, согласно данным Роскомнадзора, в 2023 году суды рассмотрели 87 составленных ведомством протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более ₽4,6 млн.
Законопроект, вводящий оборотные штрафы за утечки данных, риска подделки утечек не оговаривает. Глава профильного комитета Госдумы Александр Хинштейн подтвердил, что этот аспект не поднимался в ходе работы над законопроектом.
Поэтому компаниям придется самим вырабатывать методы оперативного расследования инцидентов и «их грамотного опровержения». Например, публично и оперативно проводить проверку данных в слитых базах, будь то ФИО клиентов или номера карт, которые в каждом банке имеют уникальные комбинации цифр, так что выдать ее за карту якобы жертвы уже не удастся.
А с начала 2024 года утекло более 116 млн строк данных пользователей объёмом 5 ТБ, что на 10% больше, чем за тот же период прошлого года — 324 тыс e-mail-адресов и 274,9 тыс номеров телефонов:
По количеству опубликованных данных в начале года первое место занял финансовый сектор (115,2 миллиона строк). Также от утечек пострадали отрасли телекома, ритейла, госсектора, услуг и ИТ
— рассказал руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско.
При этом, представитель Роскомнадзора сообщил, что в указанный период операторы персональных данных не направляли регулятору уведомлений об утечках. Законом за непредставление или представление неполной или недостоверной информации предусмотрена административная ответственность (ст. 19.7 КоАП РФ) — штрафы от 1 до 3 млн рублей.
Расскажем, как правильно подать уведомление и взаимодействовать с Роскомнадзором в случае утечки, неправомерной передачи (предоставления, распространения, доступа) ПДн.
Виды уведомлений и сроки подачи
Роскомнадзор, Приказом от 14.11.2022 № 187, вступившим в силу 1 марта 2023 года, утвердил порядок и условия взаимодействия с операторами персональных данных при возникновении инцидентов, связанных с конфиденциальностью, в частности, при их утечке и попадании в открытый доступ или к третьим лицам.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» обязывает операторов ПДн данных уведомлять Роскомнадзор о случаях неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов таких данных.
В частности, необходимо сообщать в ведомство (ч. 3.1 ст. 21 Закона № 152-ФЗ): в течение 24 часов – о произошедшем инциденте (первичное уведомление), в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).
В первичном уведомлении указываются сведения:
- о произошедшем инциденте — дата и время выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована. Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
- о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
- о предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий инцидента;
- о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
- иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии таких сведений).
Кроме того, в уведомлении приводятся данные направившего его оператора:
- ФИО гражданина или ИП;
- полное и сокращенное наименование организации;
- ИНН организации, ИП или физического лица;
- адрес регистрации по месту жительства (пребывания) физического лица или ИП;
- адрес организации в пределах его места нахождения;
- адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).
Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.
В дополнительном уведомлении указываются сведения:
- о результатах внутреннего расследования инцидента (о причинах, повлекших нарушение прав субъектов персональных данных и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
- о лицах, действия которых стали причиной инцидента (ФИО физлица или ИП, наименование юрлица, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и устройств, иные сведения).
Уведомления можно направить на бумажном носителе или в форме электронного документа:
- уведомление на бумаге направляется по адресу места нахождения Роскомнадзора;
- уведомление в электронном виде направляется путем заполнения формы на портале персональных данных Роскомнадзора (после прохождения идентификации и аутентификации через ЕСИА) и подписывается электронной подписью.
Получив первичное уведомление оператора, Роскомнадзор направляет на указанный в уведомлении адрес электронной почты информационное письмо, в котором называет дату и время передачи уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного.
Что важно учесть?
Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.
Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.
Если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).
Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.
Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.
Ответственность за утечки
На сегодняшний день, ответственность за утечку персональных данных (обработку без согласия субъектов персональных данных) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:
- на граждан – от 6 000 до 10 000 рублей;
- на должностных лиц и ИП – от 20 000 до 40 000 рублей;
- на организации – от 30 000 до 150 000 рублей.
Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- на граждан – от 10 000 до 20 000 рублей; на должностных лиц – от 40 000 до 100 000 рублей;
- на предпринимателей – от 100 000 до 300 000 рублей;
- на организации – от 300 000 до 500 000 рублей.
Если вам интересна тема соблюдения требований регуляторов в сфере персональных данных, рекомендуем ознакомиться с другими полезными материалами:
Ответственность за несоблюдение требований по ПДн
Всё о проверках Роскомнадзора, ФСТЭК, ФСБ
Отличие соглашения о поручении на обработку от передачи ПДн
Трансграничная передача ПДн: шпаргалка
Обработка и защита ПДн: кто ответственный?
«Сайт на Тильде. Что делать с ПДн?»
Защита персональных данных: актуальные требования, способы защиты
Как выполнить требования к уровню защищённости ИСПДн
Всё об аттестации ИС по требованиям ФСТЭК
Чек-лист по выполнению требований 152-ФЗ