В сфере защиты персональных данных постоянно появляются новые законы, запреты и правила. Резкий рост числа нововведений был зафиксирован в прошлом году в связи с громкими утечками Яндекс.Еды, Гемотеста, Delivery Club и др. Регулятор вынужден был реагировать, и весьма жестко. Ниже мы рассмотрим новые требования, о которых важно знать, чтобы не получить штраф и проблемы с законом.

Большая часть изменений по персональным данным есть в федеральном законе от 14 июля №266. Одно из главных изменений в том, что теперь каждая организация, в том или ином виде обрабатывающая персональные данные, обязана уведомить об этом Роскомнадзор.

Это можно сделать несколькими способами, и для каждого из них на сайте регулятора созданы отдельные формы. Информация, которую нужно отразить в уведомлении, довольно обширна и затрагивает как вопросы обработки персональных данных, так и их защиты. Обязательно заполнять следующие поля: информацию о применении или неприменении криптографических средств, данные о зарубежных центрах обработки и других подробностях трансграничной передачи, сведения о применяемых способах обработки персональных данных.

Корректно оформленное уведомление содержит информацию как о процессах обработки персональных данных, так и о применяемых способах их защиты. Такое резкое увеличение количества категорий субъектов, которые обязаны предоставлять эти данные, очевидно связано с их необходимостью для оперативного реагирования Роскомнадзора на участившиеся инциденты.

С 1 марта 2023 года отдельное уведомление необходимо подать и при осуществлении трансграничной передачи персональных данных. Формально, нет необходимости получать разрешение Роскомнадзора на передачу ПДн за рубеж – если страна-адресат является участником Конвенции Совета Европы о защите персональных данных, достаточно направить уведомление и передавать информацию можно будет даже на следующий день. Однако, если страна не является членом конвенции, то придётся дождаться решения регулятора.

Обновление федерального закона оставляет за Роскомнадзором возможность запретить любую передачу ПДн, если на то будут установлена причина. Предусмотрена возможность ограничения передачи в целях:

· Защиты основ конституционного строя РФ;

· Обеспечения обороны страны;

· Защиты экономических интересов государства;

· Защиты интересов на международной арене.

Оба рассмотренных уведомления направляются с началом обработки (передачи за границу) персональных данных, но закон предусматривает также и экстренное оповещение регулятора в случае выявления утечек ПДн.

В течение 24 часов после выявления инцидента оператор обязан уведомить Роскомнадзор о самом факте нарушения безопасности, предполагаемых последствиях и причинах, принятых в рамках устранения мерах, а также передать контактные данные лица, ответственного за взаимодействие с регулятором. Следующие 48 часов отведены для расследования инцидента, поиска виновных лиц, а также направления результатов внутренней проверки.

Казалось бы, требования простые. Но выполнить операторы ПДн их могут только при наличии некоторой организационной подготовки. Так, должен быть разработан общий порядок реагирования на инциденты безопасности, собрана группа реагирования, члены которой смогут оперативно выполнить всё необходимое в сроки, установленные законом. Заранее придётся позаботиться о предоставлении группе реагирования всех необходимых прав и полномочий, настройке средств сбора событий и логов, подготовке форм уведомлений – по факту инцидента заниматься этим не будет времени. Напротив, при правильной подготовке к реагированию, предусмотренные сроки более чем выполнимы.

По закону, уведомить необходимо не только РКН, но и государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). На данный момент ФСБ (на которую возложена ответственность за определение порядка информирования) так и не опубликовала документа, который уточнил бы каналы передачи и состав сведений, которые требуются ГосСОПКА. Вероятно, данные возможно будет передать по существующим каналам, без реализации защищённого обмена и крупных финансовых затрат, однако, до выхода разъяснений органов власти, это остаётся предположением.

Обработка биометрических ПДн всегда была сопряжена со значительным ужесточением мер безопасности. С недавних пор, для эксплуатации систем, выполняющих идентификацию или аутентификацию граждан при помощи их биометрических ПДн, необходима аккредитация Минцифры. Правила получения статуса аккредитованной организации отражены в Постановлении Правительства РФ №1799.

Документ содержит значительные требования к компаниям-претендентам на такой статус. Министерство запросит подтверждение владения аппаратной криптографией, информацию о сотрудниках, непосредственно занятых обеспечением безопасности таких систем, а также сведения о финансовом обеспечении возможных убытков и собственном капитале.

Таким образом, очевидно, что биометрическую аутентификацию смогут использовать далеко не все желающие.

Раньше каждая организация была в праве оценивать возможный ущерб субъектам ПДн с использованием своей собственной методики. Теперь Роскомнадзор предъявляет особое внимание к порядку оценки. Приказ №178 от 27 октября прошлого года содержит перечень из 13 критериев, разделённых на три группы – если для организации справедлив хотя бы один критерий из группы, то уровень соответствует установленному возможному вреду для группы (аналогичная логика применяется в давно устоявшемся Постановлении Правительства №1119). Конечно, на основе анализа применяется самый высокий из подходящих уровней вреда.

На следующий день после утверждения Приказа №178, тем же регулятором были утверждены Требования к подтверждению уничтожения ПДн – ещё одно примечательное нововведение в сфере защиты персональных данных.

Документ устанавливает требования к содержанию актов об уничтожении, разделяя их для случаев стирания информации с материальных носителей (без использования автоматизации) и стирания ПДн в информационной системе (с использованием средств автоматизации). Рекомендуем пересмотреть действующие регламенты уничтожения защищаемой информации, а также формы соответствующих актов.

Классической формой ответственности за нарушение требований в области ПДн является административный штраф. Статья 13.11 Кодекса об административных правонарушениях предусматривает ряд случаев, при которых организации могут быть привлечены к ответственности.

Давно обсуждается возможность введения оборотных штрафов в случае утечек ПДн и иных нарушений в сфере защиты данных. Новый всплеск интереса к этой теме связан с уже упоминавшейся серией громких утечек баз данных крупных российских компаний.

В ближайшее время планируется ввести в законодательство оборотные штрафы, которые будут в тысячи раз больше, чем ныне существующие штрафы по КоАП РФ. К примеру, если бы в 2021 году этот вид ответственности уже существовал, то ООО «Орифлэйм Косметикс» с оборотом в 15,06 млрд руб. могло быть привлечено к уплате штрафа в 3 012 000 руб. за утечку персональных данных клиентов. В то время как суд назначил 30 000 руб.

Еще одна крупная утечка данных произошла с DNS. Оборот компании в 2021 году достиг 562,3 млрд руб., поэтому, в случае признания компании виновной, штраф мог бы составить около 112 460 000 руб. Подробно об утечках наш юридический департамент рассказал в исследовании, посвященном данной теме.

Не стоит забывать и о регулярных и внеочередных проверках регуляторов. Серьёзные неудобства может доставить проверка, производимая по факту выявленной утечки. В таких случаях отсутствует время, столь необходимое для подготовки корректных ответов, а также исправления выявленных замечаний. Стоит задуматься, готова ли организация позволить себе устранять последствия визита регулятора с предписанием на руках, или всё же стоит заранее проверить свою готовность.