Штрафы немаленькие, особенно если учесть, что оборотных штрафов в кодексе об административных правонарушений совсем немного. Но помимо штрафов еще с декабря прошлого года ввели уголовную ответственность за неправомерный доступ к персональным данным, но он больше направлен на внутренних инсайдеров, злоумышленников, то есть тех, кто взламывает системы, и тех, кто занимается «пробивом». Это все для отдельного материала, поэтому далее разбираю только утечки и штрафы на компании для них.

 

С 30 мая помимо сбора согласий компания должна сообщить в Роскомнадзор о том, что осуществляет обработку персональных данных своих сотрудников.  Если не отправить уведомление, то грозит  штраф на сумму от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП). Какие еще штрафы появились, смотрите в статье

А в нашем телеграмм-канале мы опубликовали проверенный образец уведомления, которое нужно направить в Роскомнадзор. Переходите, подписывайтесь и забирайте в работу >>>

 

Как минимизировать риск штрафов

Речь не только о предотвращении самой утечки — даже если инцидент произошел, можно существенно снизить штрафные последствия. Вот несколько стратегий:

Своевременно уведомить Роскомнадзор. Снижает риски максимального штрафа.

Разработать регламенты реагирования на инциденты. Помогает продемонстрировать добросовестность.

Обучить сотрудников. Снижает вероятность ошибок по вине персонала.

Вести учета обработки данных. Облегчает анализ и реакцию на инцидент.

Документировать меры защиты. Важно показать, что компания предпринимала разумные усилия.

Выполнять реальные меры защиты. Нужно не только делать отчеты о выполнении мер, но и внедрить процесс реального обеспечения безопасности.

Роскомнадзор учитывает степень ответственности организации, наличие мер защиты и полноту сотрудничества при расследовании. Пример: в случае, если организация использует сертифицированные СЗИ (средства защиты информации), сотрудничает с регулятором и ведет логирование событий, санкции можно существенно снизить.

 

Что является утечкой

Утечкой персональных данных считается несанкционированный доступ, раскрытие, передача или распространение персональной информации третьим лицам без согласия субъекта данных. Если простыми словами, то это когда данные передаются за пределы компании несанкционировано, тем, кому они не нужны были. Примеры того, что будет являться утечкой:

  • направление списка персональных данных не тому клиенту,
  • взлом и публикация базы данных злоумышленниками;
  • публикация базы данных клиентов/работников в общий доступ.

Есть также меры минимизации штрафа за повторную утечку, но для этого нужно, чтобы выполнялись все следующие условия:

  • не менее 1% годовой выручки компании ежегодно в течение трех лет, предшествующих утечке, шло на мероприятия по информационной безопасности (которые проводятся лицензированными организациями);
  • наличие у оператора документального подтверждение соблюдения требований к защите персональных данных при их обработке в информационных системах персональных данных. По сути, заключение по итогам аудита, проведенного в течение двенадцати месяцев, предшествующих моменту утечки;
  • отсутствует продолжение нарушения ч.15 и ч.18 ст.13.11 КоАП РФ, и лицо не считается (считалось) наказанным по части 1-11 статьи 13.11, а также статье 13.6, 13.12 КоАП

 

 

Как понять, что произошла утечка

О том, что произошла утечка, вы узнаете скорее всего по одному из следующих источников:

  • работник сказал, что отправил/обнародовал данные клиентов не туда и не там;
  • ИТ- или ИБ-специалист сообщит;
  • вам напишет злоумышленник с требованием выкупа;
  • ваш подрядчик сообщит вам об этом;
  • вы увидите, что на вашем сайте теперь странная плашка, что сайт и его база данных взломаны;
  • появится новость на крупных новостных сайтах;
  • новость появится в телеграм-пабликах;
  • Роскомнадзор напишет вам о том, что выявил утечку.

 

Читайте также: Утечка персональных данных: как предотвратить и что делать, если данные все-таки утекли

 

По закону компания обязана отреагировать правильно с момента выявления утечки или как вы о ней узнали:

  • в течение 24 часов уведомить Роскомнадзор через личный кабинет на сайте ведомства,
  • в течение 72 часов провести внутреннее расследование и передать в Роскомнадзор через их же сайт результаты: причины утечки, масштабы, категории данных, принятые меры.

 

Невыполнение этих обязанностей по первичному уведомлению об утечку будет грозить штрафом на юрлицо от 1 до 3 миллионов рублей.

 

Стоит ли уведомлять об утечке

Многие компании действительно не уведомляют об утечке, принимают риск нарушения и штрафа, думая, что никто об этом не узнает. Но чаще всего Роскомнадзор узнает об этом и в дополнение к штрафу за утечки будет штраф за неуведомление об утечке.

У Минцифры и Роскомнадзора есть система выявления утечек — анализируют каналы продажи утекших данных, поэтому скрыться будет сложно. Бывает такое, что утечка это вброс конкурентов или злоумышленников, а фактически ее не было, но вам не хватит 24 часов, чтобы в этом разобраться. Поэтому если вы узнали об утечке, лучше уведомить Роскомнадзор, чтобы у вас было 72 часа точно разобраться в утечке и предоставить информацию о том была, или не была она на самом деле.

 

Как проводить расследование утечки

Это история для специалистов по информационной безопасности. Если у вас нет внутренних ИТ- или ИБ-специалистов, кто в этом разбирается, то обратитесь в компании, кто на этом специализируется. Услуги таких компаний будет стоить в среднем до 500 тыс. рублей.

Есть минимальный, но шанс, что если компания в течение 72 часов с момента выявления утечки и подтверждения ее факта подаст запрос на возбуждение уголовного дела в органы МВД. Если потом будет суд, то есть шанс, что суды отменять административное правонарушение по первой (не повторной) утечке. Такая практика уже есть.