Персональные данные: что должен знать бизнес про утечки и наказание

Утечки персональных данных — настоящее бедствие для бизнеса. Независимо от специфики деятельности, риск быть атакованными очень велик, а последствия могут быть довольно серьезными. Страдает не только репутация компании. За утечку могут предъявить счет контролирующее органы.

Меня зовут Татьяна Никонорова, в команде Innostage я работаю ведущим консультантом по ИБ и в том числе занимаюсь разработкой организационно-распорядительных документов. В связи с этим отслеживаю все изменения законов, постановления, нормативные акты и регламенты с фокусом на ИБ. Я хочу рассказать вам, что же должен знать бизнес про утечки персональных данных.

Каждая компания так или иначе обрабатывает персональные данные работников, клиентов, контрагентов и прочих субъектов персональных данных, если выражаться юридическими терминами.

С 1 сентября 2022 года вступили в силу новые требования к Закону «О персональных данных», обязующие оператора подать по новой форме уведомление о намерении или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.

Например, если вы ИП и ведете учет покупателей по старинке в тетрадочке, вас это не касается. Но если вы ИП с клиентами в табличке Excel, значит вы храните и обрабатываете персональные данные и должны выполнять требования к закону.

Анализ практики рассмотрения обращений в Роскомнадзор показывает, что ведомство придерживается позиции:

«Обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации».

Данное заключение начальника управления по защите прав субъектов персональных данных Ю.Е. Контемирова согласуется с изменениями, внесенным в 152-ФЗ – исключение пункта, позволяющего не подавать уведомление при обработке без средств автоматизации.

Подача уведомления в 2023 году становится безусловной необходимостью. Сейчас активно обсуждается вопрос принятия оборотных штрафов. Они поддержаны Минцифрой России и по Указу Президента должны быть рассмотрены Правительством до 1 июля 2023 года. В случае его принятия вовремя не поданное уведомление может стать отягчающим обстоятельством при выявлении утечки. Размер штрафа в данном случае может повысится до 80%. Например, для юридических лиц штраф могут повысить с 1 млн до 5 млн. рублей при первой утечке персональных данных в размере 10-100 тыс. При рецидиве утечки штраф уже будет высчитываться в процентах от годового оборота – 1-3% (минимум 5 млн. рублей и максимум 500 млн. рублей).

Важно, что снизить размер штрафа можно только, если отсутствуют отягчающие обстоятельства и есть смягчающие.

Предполагается, отягчающими обстоятельствами станет:

· невовремя поданные уведомления об обработке и утечках персональных данных;

· утечка специальных или биометрических персональных данных;

· не способствование Роскомнадзору при расследовании утечки персональных данных.

Смягчающими обстоятельствами по мнению Главы Минцифры РФ Максута Шадаева, можно считать:

· ранее направленные в Роскомнадзор результаты добровольной оценки соответствия уровня защищенности информационных систем персональных данных требованиям законодательства;

· утечку, не связанную с неисполнение оператором требований в области персональных данных и защиты информации;

· компенсация ущерба не менее чем 2/3 гражданам, чьи данные утекли, в срок 30 дней с даты утечки и в размере не менее 0,5% от годового оборота (минимум 7 млн. рублей).

Пока получается, что самое страшное для оператора – это финансовые потери при нарушении правил обработки персональных данных. Но нет. В январе стало известно о разработке законопроекта, предусматривающего уголовную ответственность за незаконный оборот краденых персональных данных. Правительство уже дало положительное заключение, а значит скоро его рассмотрит Государственная Дума.

Текст законопроекта не опубликован для общественного обсуждения, но, по информации парламентариев, предполагается введение ответственности для трех категорий участников незаконного оборота персональных данных:

· непосредственных исполнителей хищения информации;

· тех, кто способствует утечкам;

· лиц, продающих слитые базы в Интернете.

Думается, что правоприменительная практика будет трактовать «не защищаешь – способствуешь».

Какие сроки лишения свободы могут ожидать нарушителя данного законопроекта? Если рассматривать действующие законы, то можно ориентироваться на:

· Статья 137 УК РФ «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующимся произведении или СМИ (при совершении с использованием служебного положения) – лишение свободы на срок до 4 лет (с лишением права занимать определенные должности на срок до 5 лет);

· Статья 272 УК РФ «Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование – ограничение свободы на срок до 2 лет;

· Статья 274.1 «Неправомерное воздействие на критическую информационную структуру РФ»:

- Пункт 2. Неправомерный доступ к охраняемой компьютерной информации – лишение свободы до 6 лет;

- Пункт 3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации – лишение свободы до 6 лет;

- Пункт 4. Группой лиц – лишение свободы до 8 лет;

- Пункт 5. Если деяния повлекли тяжкие последствия – лишение свободы до 10 лет.

К концу 2023 года бизнес «накроют» не только оборотные штрафы, но и появится проблема с назначением ответственного за безопасность персональных данных или ответственного за организацию обработки ПДн. Ведь скорее всего на них ляжет уголовная ответственность по новому законопроекту в части противодействия утечкам персональных данных и обеспечению защиты обработки.

А будет ли в положениях законопроекта указаны требованиях к образованию и опыту ответственных, как это сделано для КИИ Постановлением правительства 1272? Вероятно, нужно ожидать выпуска аналогичного постановления, поскольку в законах данный вопрос не рассматривается.

Совет по правам человека внес инициативу о возможности замены паспорта гражданина РФ в случае установления факта утечки персональных данных. Есть ли смысл менять паспорт, если по статистке, собранной специалистами Innostage из открытых источников, в сеть слили более 200 млн. записей. Эксперты рынка ИБ подсчитали, за последний год объем утечек персональных данных россиян вырос в 40 раз. От действий хакеров пострадали в общей сложности почти 100 млн. человек.