Ответственность за нарушение требований по обработке ПДн: что делать

Об этом говорили два года. Спорили. Выступали с обращениями против. И вот — это случилось. Оборотные штрафы, уголовная ответственность и другие изменения в законодательстве, касающиеся ответственности за нарушения требований по обработке персональных данных.

30 ноября 2024 года Президент России подписал два федеральных закона, утвержающих поправки, которые ужесточают ответственность за нарушения законодательства в сфере ПДн.

Официально опубликованы изменения в Кодекс Российской Федерации об административных правонарушениях и Уголовный кодекс Российской Федерации:

• Федеральный закон от 30.11.2024 № 420-ФЗ.
• Федеральный закон от 30.11.2024 № 421-ФЗ.

Об ответственности, которая действует здесь и сейчас рассказывали тут.

В частности, вводятся:

• От 1 до 3% годовой выручки, 20 — 500 млн рублей — размер оборотных штрафов для компаний за повторные утечки.
• За кражу и незаконное использование ПДн — уголовная ответственность — до 10 лет лишения свободы.
• Штрафы для должностных лиц при утечках — до 2 млн рублей.

Изменения в Уголовный кодекс вступили в силу с даты опубликования Федерального закона. Новые штрафы вступают в силу через 180 дней с даты подписания ФЗ. Соответственно, у компаний есть время для того, чтобы принять меры для минимизации штрафных санкций.

И это — далеко не всё. Понятным языком рассказываем о новой ответственности, под какие штрафы вы можете попасть прямо сейчас и как их смягчить, а также пошагово — что делать, чтобы соблюсти требования законодательства.

Неуведомление об обработке персональных данных

Уведомление об обработке персональных данных должна подать каждая организация, так как все мы — операторы ПДн, независимо от того, обрабатываем мы только ПДн своих сотрудников, являемся ли госорганом или ИП. По 152-ФЗ, уведомление подаётся в течение 15 дней после начала их обработки.

Приказом Роскомнадзора от 28.10.2022 №180 утверждены формы уведомлений:

• о намерении осуществлять обработку ПДн
• об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн
• о прекращении обработки персональных данных

Согласно нововведениям, неуведомление об обработке ПДн грозит юрлицу штрафом от 100 тыс рублей до 300 тыс рублей.

Важно! Организации не будут штрафовать за то, что уведомление подано позже назначенного срока. Организации будут штрафовать за отсутствие уведомления как такового.

На официальном сайте РКН есть как формы уведомлений, так и примеры их заполнения. Уведомление нужно подать на сайте РКН, но только его будет недостаточно. Важно отнести или отправить заказным письмом заполненное уведомление в бумажном виде в ведомство по месту регистрации организации. Например, если организация зарегистрирована в городе Новосибирске, то уведомление в бумажном виде необходимо направить в ведомтсво Новосибирской области.

Коротко про изменения по уведомлению:

• Если уведомление подано до вступления в силу изменений, то есть, до 1 сентября 2022 года, необходимо переподать уведомление о внесение изменений в ранее поданное Уведомление в порядке и форме, установленных новым Приказом РКН (даже если нет изменений в текущей деятельности).
• Нет жестких сроков переподачи Уведомления в новой форме. Регулятор говорит о том, что оно должно быть в актуальном виде, можно проверить себя на сайте РКН.
• По обработке ПДн в ГИС, Уведомление подавать должен государственный орган – владелец ГИС.
• Нет разграничения между оператором и обработчиком в российском законодательстве, поэтому обработчики по ч. 3 ст. 6 152-ФЗ тоже должны подавать Уведомления.
• Самозанятые, нотариусы, адвокаты тоже должны подавать Уведомления.
• Когда работников в организации нет, уведомление нужно подавать, если деятельность предполагает обработку ПДн и организация не попадает под исключение. Исключения, когда уведомление в РКН можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.
• Если ранее деятельность попадала под исключения, а теперь – нет (например, если обработка осуществляется только в отношении обработки ПДн работников), уведомление нужно подавать.
• Если во внутренних приказах организации цели обработки указаны конкретно, в Уведомлении также
  указываются более конкретные цели, они должны соответствовать (на портале РКН – через поле «иное»).
• Если ЦОД арендуется и не принадлежит Оператору, в Уведомлении указывается адрес ЦОДа. Всё о ЦОД для хранения ПДн рассказывали здесь.

P.S. Все юридические организации есть в перечне юрлиц РФ, Роскомнадзор выбирает для проверки организации оттуда. Поэтому если вы до сих пор не подали уведомление с мыслью «не подал — нет в реестре — не найдут» — найдут 🙂

Неуведомление об утечке персональных данных

Согласно нововведением, штраф за это нарушение составит от 1 млн до 3 млн рублей.

Всё о том, как взаимодействовать с Роскомнадзором при утечке — рассказывали здесь.

Коротко:

1. В течение 24 часов с момента обнаружения инцидента, лицо, ответственное за реагирование на инциденты, осуществляет информирование в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных». Регламент разрабатывает сама организация! Обо всех документах, которые необходимо подготовить по ПДн — рассказывали здесь.
2. Запуск процедуры реагирования на инцидент:
   — Обработка запросов физлиц по утечке
   — Подача заявления в правоохранительные органы
   — Внутреннее/внешнее расследование в соответствии с регламентом
   — Отчет
   — Закрытие доступов, смена паролей, устранение уязвимостей
3. Результаты внутр. расследования в течение 72 часов с момента обнаружения инцидента направляются в ГосСОПКА ответственным за реагирование. Внутреннее расследование инцидента осуществляется в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных».

Штрафы за утечку персональных данных

Утечка ПДн 1 000 — 10 000 субъектов или от 10 000 до 100 000 идентификаторов для юридических лиц: 3 000 000 – 5 000 000 руб.

Утечка ПДн 10 000 — 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов для юридических лиц: 5 000 000 – 10 000 000 руб.

Утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов для юридических лиц: 10 000 000 – 15 000 000 руб.

Идентификатор — каждая ячейка а базе данных по одному физическому лицу. Фамилия — первый идентификатор, имя — второй идентификатор и т.д. Если ФИО находится в одной ячейке — это один идентификатор.

Штрафы за утечку специальных категорий персональных данных на юрлиц — от 10 000 000 до 15 000 000 рублей. Специальные категории — это информация о здоровье, судимостях, подробностях личной жизни, политических и философских взглядах, расе, национальности, религии.

Штрафы за утечку биометрических персональных данных — от 15 000 000 до 20 000 000 рублей. Это физиологические и биологические особенности человека — образцы голоса, отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, фотографии, если они используются дли идентификации.

* С 1 сентября предоставление биометрических ПДН не может быть обязательным, за исключением случаев, когда обработка биометрических ПДН может осуществляться без согласия субъекта.

*Оператор не вправе отказывать в обслуживании в случае отказа субъекта ПД предоставить биометрические ПДн и (или) дать согласие на их обработку, если в соответствии с ФЗ получение оператором согласия на обработку ПДн не является обязательным.

Оборотные штрафы

Назначаются при повторной утечке, в том числе специальных или биометрических ПДн для юрлиц: от 1% до 3% выручки, но не менее 25 000 000 и не более 500 000 000 руб.

Для банков: от 1% до 3% КАПИТАЛА.

Для бюджетных организаций будут дополнительные разъяснения.

Смягчающие обстоятельства при повторной утечке — снижение штрафа до 1/10 при соблюдении всех трёх условий:

• Последние 3 года до повторной утечки компания тратила 0,1% выручки на меры по защите ПДн у лицензиатов ФСТЭК. Сюда же относятся сертифицированные средства защиты информации, о них мы рассказывали здесь.
• Документальное подтверждение аудита выполнения мер по защите ПДн за последние 12 месяцев до утечки.
• Отсутствие отягощающих обстоятельств: непризнание оператором утечки, когда она установлена, и отсутствие нарушения по ч.1-11, ст.13.6 и 13.12 КоАП

О трансграничной передаче ПДн

Трансграничная передача персональных данных (ТППД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юрлицу или физлицу (ст. 3 152-ФЗ).

Штрафы за незаконную трансграничную передачу персональных данных и хранение ПДн вне территории РФ также кратно выросли. Чтобы быть «в теме», рекомендуем почитать наши статьи:

• Шпаргалка по трансграничной передаче
• Сайт на Tilda, что делать?
• Как понять, где хранятся персональные данные: всё про ЦОДы

Про ЦОДы — ОПЕРАТОР ПДн ОБЯЗАН проверить, обеспечивает ли физический или облачный ЦОД соответствие требованиям по персональным данным — находятся ли его сервера в РФ, защищена ли территория и т.д. Ещё раз — удостовериться в том, что ЦОД подходит под хранение ПДн обязан их ОПЕРАТОР.

Пошаговая инструкция по выполнению требований: как свести санкции к минимуму

Шаг 1: Разработаны ОРД по ПДн, модель угроз, техническое задание и технический проект. Модель угроз и техническое задание вы можете сделать сами, для технического проекта необходимо привлекать стороннюю организацию, так как это — лицензируемый вид деятельности.

Шаг 2: Внедрены процедуры защиты и реагирования на инциденты

Шаг 3: Актуальная документация по ИСПДн. Разместить политику обработки ПДн в ОБЩЕДОСТУПНОМ месте. Если оператор не имеет сайта в сети “Интернет”, ему необходимо обеспечить ИНЫМ образом неограниченный доступ к документу, определяющему политику Оператора в отношении обработки ПДн и сведениям о реализуемых требованиях к защите ПДн. Всё о составлении Политики на практике рассказывали здесь.

Шаг 4: Схема потоков данных, особенно в цепочке поставок. Рисуйте схемы. Где собираете, куда отправляете, кому передаёте ПДн.

Шаг 5: Отработано PR-реагирование, которое поможет вам сохранить лицо и иметь доказательную базу для регуляторов — как минимум, что вы оповестили пользователей.

Шаг 6: Обеспечена защита ПДн в ИСПДн. Выполнены организационные, технические меры защиты ПДн, в том числе, внутри информационной системы.

Шаг 7: Мониторинг утечек — в том числе, это про центры мониторинга и всевозможные защиты от атак.

Шаг 8: Контрактуем с лицензиатом ФСТЭК, выделяем минимум 0.1% выручки ежегодно.

Шаг 9: Ежегодно проводим внешний аудит ИБ.

Шаг 10: Стараемся не попадать на нарушения.

Шаг 11: Внутренние обучения и awareness. То есть, ВСЕ сотрудники компании, которые взаимодействуют с персданными, должны знать, с чем и как они работают. О том, как и чему обучать сотрудников — рассказывали здесь. Например, в рамках договора по внедрению защищённого облака, мы проводили такое обучение для «Тактикума».

Шаг 12: Обложитесь сертификатами соответствия и прохождения обучения работниками.

Рекомендуемые подходы к обработке ПДн

• Хранение идентификаторов, указывающих на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных. Использование для указанных баз синтетических идентификаторов, не позволяющих без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранение таких идентификаторов отдельно от предыдущих двух баз.
• Использование технических и программных средств, принадлежащих оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.
• Отказ от практики накопления ПДн «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации. Своевременное уничтожение ПДн при достижении цели их обработки (например, после оказания услуги).
• Минимизация перечня собираемых и обрабатываемых ПДн. Использование лишь тех данных, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации.
• Обеспечение раздельного хранения ПДн различных категорий субъектов (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки.
• Своевременное информирование Роскомнадзора о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение ПДн субъектов
• Информационная безопасность начинается от входа в здание, где обрабатываем персональные данные. К физической безопасности также есть требования, особенно, если используем криптографию. Соответственно, необходимо принятие мер физического контроля доступа к данным во избежание компрометации данных внутренними нарушителями.
• Назначение ответственного за защиту персональных данных, наделение его необходимыми полномочиями. Подробно об этом писали здесь.

Типовые ошибки обработки ПДн в интернете

• Документ, определяющий политику пдн отсутствует или размещен не на всех страницах сайта, на которых осуществляется сбор ПДн;
• Размещена ссылка или другой документ, не имеющий отношения к политике в отношении обработки ПДн;
• Размещена политика в отношении обработки ПДн другой организации (оператора);
• В документе отсутствуют обязательные сведения, предусмотренные п. 2 ч. 1 ст. 18.1 федерального закона «О персональных данных», или указанные сведения не соответствуют фактической деятельности оператора;
• Полное дублирование положений федерального закона «О персональных данных», а не отражение сведений, соответствующих фактической обработке ПДн.

В этот список добавлю: отсутствие согласия на обработку, «плашечки» про cookies, Политика размещена не на видном месте и неактуальное уведомление

— Вероника Нечаева, CISO CORTEL

Если вы используете на сайте метрические программы, важно:

• проинформировать об этом пользователей при входе на сайт и получить согласие на обработку ПДн посредством метрических программ;
• указать, какие именно метрические программы используются;
• включить политику в отношении обработки ПДн информацию об использовании метрических программ.

Основные нарушения в ходе проверок РКН

Несмотря на то, что на момент выхода поправок введён мораторий на проверки, они всё же проходят. Всё о внеплановых проверках рассказывали здесь.

• Компания отсутствует в реестре РКН.

• Сбор данных без согласия субъекта ПДн. Яркий пример — системы лояльности: «Дайте ваш номер телефона и получите скидку 5%». Это нарушений требований законодательства. Согласие должно быть в той форме, в которой можно подтвердить, что оно было дано. Обратите внимание на требования к согласию.

• Отсутствие актуальной Политики по обработке ПДн.

• Сбор избыточных ПДн (собираются данные, которые не требуется для работы с физическим лицом). За это тоже есть наказание.

• Трансграничная передача данных.

Если вы хотите протестировать сервис, который поможет вам со всей документацией по персональным данным — заполните эту форму.

Если вас интересует комплекс мер — организационные + технические, а также обработка данных на территории РФ — заполните эту форму. Наши специалисты по ИБ свяжутся с вами и проведут бесплатную консультацию на предмет выполнения требований регуляторов по персональным данным.