Проверки по персональным данным в 2024 году: что происходит и что делать?
Конец мая 2024 года, среда. В организацию из медицинской отрасли приходит письмо из прокуратуры. В течение двух дней, до пятницы, ведомство требует отправить несколько десятков документов, связанных:
– с обработкой, хранением и защитой персональных данных (ПДн) в организации:
– с соблюдением требований к субъектам критической информационной инфраструктуры (КИИ).
И это при том, что эти бумаги ещё надо найти: в последний раз из обновляли в 2015 году
Требование прокуратуры выглядело неожиданно, ведь до конца 2024 года в стране действует мораторий на проверки.
Почему многие компании стали массово получать такие требования, как действовать в такой ситуации и что будет, если не получится пройти проверку — в нашем материале.
Почему возможны проверки во время моратория
Роскомнадзор, ФСТЭК, ФСБ – три госоргана, которые контролируют выполнение требований по защите персональных данных. 10 марта 2022 года вышло постановление, которое запретило этой троице и ряду других ведомств проводить плановые и внеплановые проверки.
Как проходят такие проверки подробно рассказывали тут.
В частности, рассмотрели — профилактические, плановые, внеплановые, порядок и сроки их проведения.
Сроки действия моратория несколько раз продляли. Сегодня они таковы:
– плановые проверки запрещены до 2030 года;
– внеплановые проверки заморожены до конца 2024 года;
– профилактические – по-прежнему без ограничений.
Однако, двум видам проверок дорога осталась полностью открыта:
– камеральные налоговые проверки;
– прокурорский надзор.
Обычно прокуратура не занимается вопросами защиты персональных данных, поскольку для этого существует три других ведомства.
Но 2024 году произошёл ряд крупных инцидентов, связанных с утечками персональных данных. В связи с этим в апреле 2024 года начались массовые прокурорские проверки и рассылка “писем счастья”.
Как проходит прокурорская проверка
1. Сначала формируется приказ в прокуратуре.
2. Затем в проверяемую компанию приходит решение о проведении проверки, где указаны:
- цель проверки: выявление нарушений ФЗ в сфере ИТ и защиты информации;
- предмет проверки: соблюдение конкретным юрлицом законодательства в в сфере ИТ и защиты информации;
- срок проверки: месяц.
3. Далее приходит письмо. В нашем случае это “Требование о предоставлении документов, информаций, справок, материалов или их копий”. А так как организация – это субъект критической информационной инфраструктуры (КИИ), документы поделены на 3 блока:
– Персональные данные
– Средства защиты информации
– Критическая информационная инфраструктура
Проще говоря, от руководителей компании требуют ответить на следующие вопросы и приложить подтверждающие документы:
Перечень документов на проверку может быть иным, в зависимости от отрасли и степени значимости. Так, один из представителей МЧС сообщил, что в его случае прокуратура проверяла 4 “блока”:
– Персональные данные
– Работу с сайтом
– Работу с сетями
– Порядок работы со средствами защиты информации (СЗИ)
После перечня в письме отмечают:
“В случае отсутствия каких-либо документов предоставить пояснения о причинах их отсутствия. Быть готовым по требованию проверяющего представить иные документы, материалы, пояснения по вопросам, возникающим в ходе проверки”.
На сбор и предоставление информации, повторимся, дают 2 дня.
Далее всё зависит от того, были ли выявлены нарушения. По закону, во время проверки прокуратура может привлекать любые другие органы. И мораторий в таком случае не действует.
Что будет, если не выполнить требования
Если не предоставить документы из списка или не выполнить другие требования прокуратуры, организацию могут наказать. Перечень санкций приведён в таблице.
НПА | Статья | Тип нарушения | Наказание | |||
Граждане | Должностное лицо | ИП | ЮЛ | |||
КоАП РФ | 5.39 | Неправомерный отказ в предоставлении информации, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации. | — | Штраф от 5 000 до 10 000 рублей. | — | — |
13.11 (ч.1) | Обработка ПДн в случаях, не предусмотренных законодательством, либо обработка ПДн, несовместимая с целями сбора. | Штраф от 2 000 до 6 000 рублей. За повторное – от 4 000 до 12 000 рублей. | Штраф от 10 000 до 20 000 рублей. За повторное – от 20 000 до 50 000 рублей. | За повторное – штраф от 50 000 до 100 000 рублей. | Штраф от 60 000 до 100 000 рублей. За повторное – от 100 000 до 300 000 рублей. | |
13.11 (ч.2) | Обработка ПДн без письменного согласия субъекта. | Штраф от 10 000 до 15 000 рублей. За повторное – от 15 000 до 30 000 рублей. | Штраф от 100 000 до 300 000 рублей. За повторное – от 300 000 до 500 000 рублей. | За повторное – штраф от 500 000 до 1 000 000 рублей. | Штраф от 300 000 до 700 000 рублей. За повторное – от 1 000 000 до 1 500 000 рублей. |
|
13.11 (ч.3) | Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн. | Штраф от 1 500 до 3 000 рублей | Штраф от 6 000 до 12 000 рублей. | Штраф от 10 000 до 20 000 рублей. | Штраф от 30 000 до 60 000 рублей. |
|
13.11 (ч.4) | Невыполнение обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн. | Штраф от 2 000 до 4 000 рублей. | Штраф от 8 000 до 12 000 рублей. | Штраф от 20 000 до 30 000 рублей. | Штраф от 40 000 до 80 000 рублей. | |
13.11 (ч.5) | Невыполнение оператором в сроки требования об уточнении ПДн, их блокировании или уничтожении. | Штраф от 2 000 до 4 000 рублей. За повторное – от 20 000 до 30 000 рублей. | Штраф от 8 000 до 20 000 рублей. За повторное – от 30 000 до 50 000 рублей. | Штраф от 20 000 до 40 000 рублей. За повторное – от 50 000 до 100 000 рублей. | Штраф от 50 000 до 90 000 рублей. За повторное – от 300 000 до 500 000 рублей. | |
13.11 (ч.6) | Невыполнение при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ. | Штраф от 1 500 до 4 000 рублей. | Штраф от 8 000 до 20 000 рублей. | Штраф от 20 000 до 40 000 рублей. | Штраф от 50 000 до 100 000 рублей. | |
13.11 (ч.7) | Невыполнение оператором при сборе ПДн, в том числе посредством сети «Интернет», обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. | — | Штраф от 6 000 до 12 000 рублей. | — | — | |
13.11 (ч.8) | Невыполнение оператором при сборе ПДн, в том числе посредством сети «Интернет», обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. | Штраф от 30 000 до 50 000 рублей. За повторное – от 50 000 до 100 000 рублей. | Штраф от 100 000 до 200 000 рублей. За повторное – от 500 000 до 800 000 рублей. | Как и на юридических лиц. | Штраф от 1 000 000 до 6 000 000 рублей. | |
13.12 (ч.6) | Нарушение требований о защите информации (за исключением информации, составляющей гостайну). | Штраф от 500 до 1 000 рублей. | Штраф от 1000 до 2000 рублей. | — | Штраф от 10 000 до 15 000 рублей. | |
13.12.1 (ч.1) | Нарушение требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния. | — | Штраф от 10 000 до 50 000 рублей. | — | Штраф от 50 000 до 100 000 рублей. | |
13.12.1 (ч.2) | Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ. | — | Штраф от 10 000 до 50 000 рублей. | — | Штраф от 100 000 до 500 000 рублей. | |
13.12.1 (ч.3) | Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. | — | Штраф от 20 000 до 50 000 рублей. | — | Штраф от 100 000 до 500 000 рублей. | |
19.7 | Непредставление или несвоевременное представление в уполномоченный орган сведений, представление которых необходимо для осуществления этим органом его законной деятельности, либо представление таких сведений в неполном объеме или в искаженном виде. | Штраф от 100 до 300 рублей. | Штраф от 300 до 500 рублей. | — | Штраф от 3 000 до 5 000 рублей. | |
19.7.15 (ч.1) | Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, сведений о результатах присвоения объекту одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий либо представление недостоверных сведений. | — | Штраф от 10 000 до 50 000 рублей. | — | Штраф от 50 000 до 100 000 рублей. | |
19.7.15 (ч.2) | Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации, предусмотренной законодательством в области обеспечения безопасности КИИ. | — | Штраф от 10 000 до 50 000 рублей. | — | Штраф от 100 000 до 500 000 рублей. | |
19.7.15 (ч.3) | Повторное совершение административного правонарушения, предусмотренного частью 1 статьи 19.7.15 | — | Штраф от 50 000 до 100 000 рублей. | — | Штраф от 100 000 до 200 000 рублей. |
Штрафы за нарушения могут суммироваться.
Если проверка покажет, что организация не соблюдает требования регуляторов, её ждут дополнительные штрафы.
Например, могут выявить обработку ПДн без письменного согласия. Допустим, прокуроры попросили предоставить документы, а в компании ни одного согласия не отправили. За такое выпишут предупреждение, а затем штраф – от 300 тыс. до 700 тыс. рублей на юрлицо.
Проверки несут и репутационные риски.
В большинстве случаев, прокурорские дела и проверки подлежат огласке и распространению. Информацию о нарушениях увидят клиенты и контрагенты.
А компании, ставшие жертвой кибератаки и (или) допустившие утечку, несут финансовые потери. Например, 3 июня 2024 года стало известно, что третий день почти 1 тыс. магазинов сети «Верный» не принимают оплату банковскими картами, не работает сайт и приложение ритейлера. “Потери «Верного» могут составлять 120–140 млн руб. в день, или около 1 млрд руб. в неделю” – посчитал гендиректор «Infoline-Аналитика» Михаил Бурмистров. Примерно в те же цифры оценили потери СДЭК, который подвергся кибератаке неделей ранее. Длительный сбой привёл к репутационным потерям, а также требованиям контрагентов выплатить компенсации за срыв сроков доставки.
Как подготовиться к проверке
Согласно текущей тенденции, кибератак и утечек данных будет становиться всё больше. А с ними – расти количество проверок. Подготовиться к ним можно двумя способами:
1. Самостоятельно
Для этого необходимы:
- Аудит текущего состояния и проверка всех систем на соответствие требованиям регуляторов в сфере защиты информации.
- Разработка и обновление документации. Перечень всех документов, которые необходимо подготовить, приведён тут.
- Внедрение технических мер, закупка и настройка средств защиты информации.
- Обучение персонала.
- Постоянное отслеживание состояния систем и подготовка отчетов для регуляторов.
2. С помощью поставщика услуг
Сервис SafeCloud 152-ФЗ закрывает все вопросы по информационной безопасности:
– Проводим аудит и предоставляется подробный план действий.
– Готовим все необходимые документы по требованиям регуляторов.
– Подбираем, внедряем и настраиваем все средства защиты информации.
– Обучаем персонал, делимся экспертным опытом по любым ИТ- и ИБ- вопросам.
– Несём ответственность.
– Находимся рядом 24/7/365.
Проведите бесплатный аудит своей компании и узнайте, будет ли для вас проблемой возможная прокурорская проверка. Оставьте контактные данные, и наш отдел информационной безопасности свяжется с вами.