Проверки по персональным данным в 2024 году: что происходит и что делать?

У заказчика произошла любопытная ситуация. Итак, конец мая 2024 года, среда. В организацию из медицинской отрасли приходит письмо из прокуратуры. В течение двух дней, до пятницы, ведомство требует отправить несколько десятков документов, связанных:

– с обработкой, хранением и защитой персональных данных (ПДн) в организации:

– с соблюдением требований к субъектам критической информационной инфраструктуры (КИИ).

И это при том, что эти бумаги ещё надо найти: в последний раз из обновляли в 2015 году

Требование прокуратуры выглядело неожиданно, ведь до конца 2024 года в стране действует мораторий на проверки.

Почему многие компании стали массово получать такие требования, как действовать в такой ситуации и что будет, если не получится пройти проверку - обсудил с нашим отделом информационной безопасности.

Роскомнадзор, ФСТЭК, ФСБ – три госоргана, которые контролируют выполнение требований по защите персональных данных. 10 марта 2022 года вышло постановление, которое запретило этой троице и ряду других ведомств проводить плановые и внеплановые проверки. Кстати, о том, как проходят такие проверки - рассказывали тут. В частности, рассмотрели — профилактические, плановые, внеплановые, порядок и сроки их проведения.

Сроки действия моратория несколько раз продляли. Сегодня они таковы:

– плановые проверки запрещены до 2030 года;

– внеплановые проверки заморожены до конца 2024 года;

– профилактические – по-прежнему без ограничений.

Однако, двум видам проверок дорога осталась полностью открыта:

– камеральные налоговые проверки;

– прокурорский надзор.

Обычно прокуратура не занимается вопросами защиты персональных данных, поскольку для этого существует три других ведомства.

Но 2024 году произошёл ряд крупных инцидентов, связанных с утечками персональных данных. В связи с этим в апреле 2024 года начались массовые прокурорские проверки и рассылка “писем счастья”.

1. Сначала формируется приказ в прокуратуре.

2. Затем в проверяемую компанию приходит решение о проведении проверки, где указаны:

3. Далее приходит письмо. В нашем случае это “Требование о предоставлении документов, информаций, справок, материалов или их копий”. А так как организация – это субъект критической информационной инфраструктуры (КИИ), документы поделены на 3 блока:

– Персональные данные

– Средства защиты информации

– Критическая информационная инфраструктура

Проще говоря, от руководителей компании требуют ответить на следующие вопросы и приложить подтверждающие документы:

Перечень документов на проверку может быть иным, в зависимости от отрасли и степени значимости. Так, один из представителей МЧС сообщил, что в его случае прокуратура проверяла 4 “блока”:

– Персональные данные

– Работу с сайтом

– Работу с сетями

– Порядок работы со средствами защиты информации (СЗИ)

После перечня в письме отмечают:

“В случае отсутствия каких-либо документов предоставить пояснения о причинах их отсутствия. Быть готовым по требованию проверяющего представить иные документы, материалы, пояснения по вопросам, возникающим в ходе проверки”.

На сбор и предоставление информации, повторимся, дают 2 дня.

Далее всё зависит от того, были ли выявлены нарушения. По закону, во время проверки прокуратура может привлекать любые другие органы. И мораторий в таком случае не действует.

Если не предоставить документы из списка или не выполнить другие требования прокуратуры, организацию могут наказать. Перечень санкций приведён в таблице.

Штрафы за нарушения могут суммироваться.

Если проверка покажет, что организация не соблюдает требования регуляторов, её ждут дополнительные штрафы.

Например, могут выявить обработку ПДн без письменного согласия. Допустим, прокуроры попросили предоставить документы, а в компании ни одного согласия не отправили. За такое выпишут предупреждение, а затем штраф – от 300 тыс. до 700 тыс. рублей на юрлицо.

Проверки несут и репутационные риски.В большинстве случаев, прокурорские дела и проверки подлежат огласке и распространению. Информацию о нарушениях увидят клиенты и контрагенты.

А компании, ставшие жертвой кибератаки и (или) допустившие утечку, несут финансовые потери. Например, 3 июня 2024 года стало известно, что третий день почти 1 тыс. магазинов сети «Верный» не принимают оплату банковскими картами, не работает сайт и приложение ритейлера. “Потери «Верного» могут составлять 120–140 млн руб. в день, или около 1 млрд руб. в неделю” – посчитал гендиректор «Infoline-Аналитика» Михаил Бурмистров. Примерно в те же цифры оценили потери СДЭК, который подвергся кибератаке неделей ранее. Длительный сбой привёл к репутационным потерям, а также требованиям контрагентов выплатить компенсации за срыв сроков доставки.

Согласно текущей тенденции, текущей тенденции,кибератак и утечек данных будет становиться всё больше. А с ними – расти количество проверок. Подготовиться к ним можно двумя способами:

1. Самостоятельно

Для этого необходимы:

2. С помощью поставщика услуг

Сервис SafeCloud 152-ФЗ закрывает все вопросы по информационной безопасности:

– Проводим аудит и предоставляется подробный план действий.

– Готовим все необходимые документы по требованиям регуляторов.

– Подбираем, внедряем и настраиваем все средства защиты информации.

– Обучаем персонал, делимся экспертным опытом по любым ИТ- и ИБ- вопросам.

– Несём ответственность.

– Находимся рядом 24/7/365.

Проведите бесплатный аудит своей компании и узнайте, будет ли для вас проблемой возможная прокурорская проверка. Оставьте контактные данные, и наш отдел информационной безопасности свяжется с вами.