тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Ужесточение ответственности в сфере ПДн: вопрос-ответ

By 12.12.2024 Информационная безопасность 0 Comments

Ужесточение ответственности в сфере ПДн: вопрос-ответ

Президент России подписал два закона, утверждающих ужесточение ответственности за нарушения в сфере обработки и защиты персональных данных. Практически к каждому штрафу «прибавили» по несколько нулей, а в информационном поле возникло много вопросов.

Разбираем 10 самых-самых.

Вопрос 1

Относится ли фото на пропуске СКУД к биометрической категории персональных данных, если лицо не сканируется, вход только по пропуску?

Биометрия на бумаге тоже существует. Смотрите на обработку биометрических ПДн неавтоматизированным способом. Если, когда я прохожу в здание и прикладываю пропуск, моя фотография высвечивается на мониторе у охраны — это биометрия, так как фото используется для идентификации.

Второе — совет из личного опыта. Если вы не понимаете, как поступать в том или ином случае, не можете найти прямой ответ на вопрос — не стесняйтесь обратиться напрямую к регулятору — в Роскомнадзор или ФСТЭК. Это не значит, что к вам тут же придут с проверкой. На практике — ни разу не приходили после отправленного запроса.

— Вероника Нечаева, CISO CORTEL

Вопрос 2

Об уведомлении об обработке:

  • В каких случаях нужно актуализировать данные в РКН, если ранее уведомление было заполнено по старой форме?
  • Если компания работает 10 лет и не направляла уведомление об обработке персональных данных, какие будут санкции если направим его сейчас?
  • Штраф об уведомлении РКН относится только к первичному уведомлению или касается еще и уведомления об изменении уведомления?
  • В уведомлении РКН содержатся пункты о средствах обеспечения безопасности по ст. 18-19 152-ФЗ и о средствах по ПП 1119. Что следует указывать?
  1. Обязательно подавать заново, если уведомление заполнено до 1 сентября 2022 года. Уведомление об изменении подать нельзя, так как форма полностью изменилась. Для этого проверьте все свои уведомления в реестре РКН по ИНН, ОГРН и т.д.

    Актуализировать нужно, если вы подали уведомление после 01.09.2022, и у вас произошли изменения, например, поменялся ЦОД, в котором вы обрабатываете ПДн. Для этого не нужно подавать форму заново. Необходимо открыть на сайте РКН форму «Изменения» и заполняете форму уведомления об изменениях.

  2. За то, что вы подали уведомление позже положенного срока, санкций не будет. То есть, если РКН обнаружит, что вы подали его, например, сегодня, вас не оштрафуют. НО если РКН придёт к вам с проверкой/на вас поступит жалоба от физического лица, и в ходе проверки выяснится, что вашего уведомления даже нет в реестре — ждите штрафа.

  3. Штраф относится только к тем, у кого уведомления нет.

  4. Вы пишите, какие конкретно меры защиты из ст.18-19 у вас реализованы. В Постановлении №1119 прописано, какие меры для какого уровня защищённости необходимо реализовывать. Подробно об этом рассказывали здесь. Важно: в ст.19 сказано о необходимости перечислить технические меры защиты ПДн. Не перечисляйте здесь перечень своих СЗИ! Таким образом вы разглашаете конфиденциальную информацию и даёте злоумышленникам прямой путь к уязвимостям конкретных СЗИ и их взлому.

Вопрос 3

Какие данные юридических лиц являются персональными данными?

Никакие. Персональные данные — это данные, прямо или косвенно позволяющие установить физическое лицо (субъект персональных данных).

Вопрос 4

Как правильно определить цели обработки ПДн в компании?

У нас есть хороший материал с базовым перечнем целей обработки. Он здесь. Там же — вся основа основ и пошаговая инструкция к выполнению требований.

В обязательном порядке следует сделать «маршрутную карту» потоков персональных данных и их обработки, чтобы потом цели обработки соотнести с ИСПДн. И ещё подсказка — цели обработки должны плюс-минус каррелировать с нормативными основаниями обработки. Имейте ввиду: «Мне сказали» или «Я пришёл, и тут так было» — это не нормативные основания 🙂

— Вероника Нечаева, CISO CORTEL

Вопрос 5

Как уведомлять РКН об утечке ПДн?

Если организация-оператор — это Банк — уведомления об утечке через ФинЦЕРТ достаточно?

В блоге писали отдельный большой материал по этому поводу.

В отношении банков у ЦБ есть отдельные требования по утечкам персональных данных. Ваша задача — в совокупности посмотреть меры законов и ЦБ.

Вопрос 6

Если сотрудник несанкционированно отправил документ, содержащий персональные данные другого сотрудника на электронный адрес, например @mail.ru, будет ли это считаться утечкой ПДн, о которой необходимо докладывать в РКН?

Да, утечка. Это несанкционированное предоставление доступа неограниченному кругу лиц. Уведомлять или не уведомлять об этом Роскомнадзор — это ваш выбор. Я бы уведомляла.

— Вероника Нечаева, CISO CORTEL

Вопрос 7

За первую утечку в 50 тыс. субъектов штраф — 5-10 млн. Неуведомление об утечке — штраф 1-3 млн. Какой смысл организации сразу же осведомлять уполномоченный орган?

Самое время напомнить, что штрафы суммируются 🙂 То есть, в худшем случае вы получите 10 млн штраф за утечку + 3 млн штраф за неуведомление = 13 млн рублей. К тому же, если вы сотрудничаете с регулятором, то можете доказать, что, к примеру «повторная утечка», на самом деле собранная из старых дампов — вовсе не повторная утечка. Чем прозрачнее ваша коммуникация с регулятором, тем вам проще жить. Это на самом деле так. Есть много кейсов, где данные организации попадают на шифровальщика, обращаются в ФСБ, и в ФСБ помогают расшифровать данные в рамках расследования инцидента, ещё и штрафные санкции не накладывают

— Вероника Нечаева, CISO CORTEL

Вопрос 8

Можно ли разделять политику конфиденциальности: на сайте — всё, что касается сбора ПДн на сайте, а всё остальное — во внутренней политике?

Можно. Я так и делаю 🙂 Мой подход такой: есть сайт CORTEL, на котором собираются и обрабатываются определённые ПДн. Там лежит положение об обработке всех ПДн, которые есть на сайте, cookies и т.д. Есть положение об обработке данных внутри компании, в том числе, резюме, и мы просто даём ссылку на этот ресурс. При проверке замечаний не было. Главное — сделать все.

Вопрос 9

Обязательно ли назначать ответственного за безопасность обработки ПДн?

Обязательно, это требование закона. Подробно об этом рассказывали здесь.

Вопрос 10

За нарушение по КОАП штраф накладывается на должностных и юридических лиц. В каких случаях штраф накладывается на должностных лиц, а в каких на ЮЛ?

Штраф накладывается на юридическое лицо, если вы — коммерческая организация, на должностное лицо — если госорган, на физических — если вы, например, адвокат.

Если у вас остались вопросы и вы бы хотели получить персональную консультацию по вашей ситуации с обработкой и защитой ПДн в организации — заполните форму, и наш отдел ИБ свяжется с вами.