Аналитика и комментарии
27 декабря 2024
Как снизить риски возникновения ответственности за утечки ПДн
26 ноября 2024 года Госдума РФ приняла законопроекты, ужесточающие ответственность за нарушения в области обработки и защиты персональных данных (ПДн). 30 ноября Владимир Путин утвердил соответствующие изменения в УК РФ и КОАП РФ. И миф об оборотных штрафах и уголовной ответственности за утечку ПДн перестал быть таковым. Так что грозит компаниям с 30 мая 2025 года, когда изменения вступят в силу, и как минимизировать эти риски?
Тезисно об изменениях
Согласно КОАП РФ, невыполнение или несвоевременное выполнение оператором обязанности по уведомлению за утечку ПДн чревато штрафом в 1–3 млн руб.
Действия (бездействие) оператора, повлекшие неправомерную передачу… информации, включающей биометрические ПДн предполагают штраф от 15 млн до 20 млн руб.
Максимальный штраф за утечку ПДн составит 1–3 % совокупного размера суммы выручки либо в размере не менее 25 млн руб и не более 500 млн руб.
Статья 272.1 УК РФ за незаконное использование ПДн (в т.ч. передачу ПДн, сбор и/или хранение компьютерной информации, содержащей ПДн, полученной незаконно, создание и/или функционирование информационных ресурсов, предназначенных для незаконного хранения и/или распространения ПДн) влечёт лишение свободы до 10 лет со штрафами до 3 млн руб.
Скажите, что нам делать?!
Замечу, что поскольку такие деяния (подпадающие под УК РФ) априори противоправные и умышленные, комментариев о строгости ответственности нет и быть не может. Мне сложно даже представить общий ущерб как в части нарушения конституционных прав и свобод человека и гражданина, так и в части материального вреда.
В части изменений в КОАП РФ: с одной стороны, увеличение размеров штрафов заставит операторов ПДн всерьёз задуматься над вопросом их защиты, с другой – для бизнеса такие штрафы могут оказаться «камнем на шее». При этом, если речь идёт о действии/бездействии, повлекшем утечку ПДн, и оспорить виновность оператора крайне сложно, то штраф до 3 млн руб, например, за несоблюдение сроков уведомления об утечке ПДн (24 часа в соответствии с ч. 3.1 ст. 21 152-ФЗ), многие считают крайними мерами.
Да, прежде об оценке соответствия 152-ФЗ задумывались не все, многие компании из малого и среднего бизнеса не уделяли достаточно внимания защите ПДн. Однако в новых реалиях это становится накладно. Всё чаще от операторов ПДн можно услышать фразу: «Мы готовы, скажите, что нам делать для выполнения требования 152-ФЗ и подзаконных актов».
Аудит и автоматизация
На мой взгляд, нормативная база защиты персональных данных максимально отработана. Защиту ПДн необходимо начинать с организации правильных процессов обращения с ними. Провести аудит персональных данных, который покажет реальное положение дел, до прихода с проверкой инспекторов Роскомнадзора, ФСТЭК или ФСБ. Помимо плановых, возможны и внеплановые проверки. Последние, как правило, бывают инициированы жалобами в РКН на неправомерную обработку ПДн. Сначала РКН пришлёт по этому поводу запрос в организацию, и на такие обращения надо уметь грамотно отвечать.
Работа объёмная (экспресс-аудит занимает, как правило, месяц, на комплексный – уходит в среднем месяца четыре), поэтому нередко многие предпочитают перепоручить обязанности по аудиту лицензированным организациям. Соблюсти все требования и сравнительно легко вести учёт ПДн, конечно же, помогает автоматизация. Такие решения на нашем рынке есть. Например, разработанный компанией ARinteg модуль «Учёт персональных данных» совместим с системой программ «1С:Предприятие 8.3», он представляет собой расширение к конфигурации 1С: ЗУП и позволяет значительно сократить время на ведение учёта ПДн.
Текст: Олег НЕСТЕРОВСКИЙ, заместитель директора департамента по консалтингу и аудиту ARinteg
Материал также опубликован в печатной версии Национального банковского журнала (декабрь 2024)
Тезисно об изменениях
Согласно КОАП РФ, невыполнение или несвоевременное выполнение оператором обязанности по уведомлению за утечку ПДн чревато штрафом в 1–3 млн руб.
Действия (бездействие) оператора, повлекшие неправомерную передачу… информации, включающей биометрические ПДн предполагают штраф от 15 млн до 20 млн руб.
Максимальный штраф за утечку ПДн составит 1–3 % совокупного размера суммы выручки либо в размере не менее 25 млн руб и не более 500 млн руб.
Статья 272.1 УК РФ за незаконное использование ПДн (в т.ч. передачу ПДн, сбор и/или хранение компьютерной информации, содержащей ПДн, полученной незаконно, создание и/или функционирование информационных ресурсов, предназначенных для незаконного хранения и/или распространения ПДн) влечёт лишение свободы до 10 лет со штрафами до 3 млн руб.
Скажите, что нам делать?!
Замечу, что поскольку такие деяния (подпадающие под УК РФ) априори противоправные и умышленные, комментариев о строгости ответственности нет и быть не может. Мне сложно даже представить общий ущерб как в части нарушения конституционных прав и свобод человека и гражданина, так и в части материального вреда.
В части изменений в КОАП РФ: с одной стороны, увеличение размеров штрафов заставит операторов ПДн всерьёз задуматься над вопросом их защиты, с другой – для бизнеса такие штрафы могут оказаться «камнем на шее». При этом, если речь идёт о действии/бездействии, повлекшем утечку ПДн, и оспорить виновность оператора крайне сложно, то штраф до 3 млн руб, например, за несоблюдение сроков уведомления об утечке ПДн (24 часа в соответствии с ч. 3.1 ст. 21 152-ФЗ), многие считают крайними мерами.
Да, прежде об оценке соответствия 152-ФЗ задумывались не все, многие компании из малого и среднего бизнеса не уделяли достаточно внимания защите ПДн. Однако в новых реалиях это становится накладно. Всё чаще от операторов ПДн можно услышать фразу: «Мы готовы, скажите, что нам делать для выполнения требования 152-ФЗ и подзаконных актов».
Аудит и автоматизация
На мой взгляд, нормативная база защиты персональных данных максимально отработана. Защиту ПДн необходимо начинать с организации правильных процессов обращения с ними. Провести аудит персональных данных, который покажет реальное положение дел, до прихода с проверкой инспекторов Роскомнадзора, ФСТЭК или ФСБ. Помимо плановых, возможны и внеплановые проверки. Последние, как правило, бывают инициированы жалобами в РКН на неправомерную обработку ПДн. Сначала РКН пришлёт по этому поводу запрос в организацию, и на такие обращения надо уметь грамотно отвечать.
Работа объёмная (экспресс-аудит занимает, как правило, месяц, на комплексный – уходит в среднем месяца четыре), поэтому нередко многие предпочитают перепоручить обязанности по аудиту лицензированным организациям. Соблюсти все требования и сравнительно легко вести учёт ПДн, конечно же, помогает автоматизация. Такие решения на нашем рынке есть. Например, разработанный компанией ARinteg модуль «Учёт персональных данных» совместим с системой программ «1С:Предприятие 8.3», он представляет собой расширение к конфигурации 1С: ЗУП и позволяет значительно сократить время на ведение учёта ПДн.
Текст: Олег НЕСТЕРОВСКИЙ, заместитель директора департамента по консалтингу и аудиту ARinteg
Материал также опубликован в печатной версии Национального банковского журнала (декабрь 2024)
