С 1 сентября 2022 года в России стали действовать правила для компаний (операторов), допустивших утечку персональных данных. Теперь такие компании обязаны уведомлять Роскомнадзор (РКН) о произошедшей утечке данных клиентов, сотрудников и других лиц (субъектов персональных данных).

Эксперты полагают, что следующим шагом в регулировании утечек данных станет введение крупных штрафов, включая оборотные, за утечки и нарушение взаимодействия с Роскомнадзором. Такой вывод делают на основании Проекта Федерального закона № 502104-8.

Новые правила регулирования утечек вызывают у компаний серьёзные опасения. Закон даёт лишь общие черты термина «утечка персональных данных», а разъяснения Роскомнадзора ограничены, что усиливает риски: ужесточение ответственности может привести к значительным штрафам.

В статье расскажем, как и в каких случаях компаниям необходимо реагировать на возможные утечки данных. Это поможет выстроить бизнес-процессы для выполнения требований по реагированию на инциденты.

Утечка персональных данных – это неформальный термин, который чаще служит синонимом юридического понятия «инцидент», закрепленного в российском законодательстве и специализированной литературе.

Инцидент определяется как неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных, нарушающая права субъектов данных.

Компрометация данных будет считаться утечкой при наличии двух признаков:

1. Персональные данные попали к лицам, не имеющим разрешения на доступ;
2. В результате передачи возникли неблагоприятные последствия для субъектов данных.

Признаки утечки чётко проявляются в случае размещения базы персональных данных в интернете. Здесь налицо оба признака инцидента: доступ к данным получает неопределённый круг лиц (первый признак), и возникают очевидные риски для субъектов данных, так как их информация может быть использована мошенниками (второй признак).

Кейс 
Ошибочная передача персональных данных контрагенту

Ситуация
Компания по ошибке передает персональные данные контрагенту, но он не должен их получать. При этом с контрагентом заключено поручение на обработку данных. Этот документ регулирует случаи и правила обработки персональной информации.

Решение
1.    Действия контрагента
Контрагент обнаруживает ошибку, уведомляет компанию о случившемся и незамедлительно удаляет полученные данные.
2.    Действия компании
В случае, если ошибка обнаруживается самой компанией, она оперативно уведомляет контрагента о необходимости удаления данных.

Результат
Права субъектов персональных данных остаются защищенными, так как данные удаляются сразу после обнаружения ошибки, и контрагент не использует их в своих интересах. Таким образом, негативные последствия для субъектов предотвращаются, и инцидент не квалифицируется как утечка данных.

Проект закона не учитывает нарушение прав субъектов как характеристику инцидента и предлагает считать инцидентом любую неправомерную передачу данных, независимо от последствий. Это расширит перечень ситуаций, признаваемых утечкой персональных данных.

Обязанность уведомить Роскомнадзор лежит на операторе, даже если обработку данных он передал другой компании, например, облачному провайдеру, который допустил инцидент.

При утечке данных оператор должен отправить два уведомления в уполномоченный орган: первичное и дополнительное.

• Первичное уведомление
  Оператор должен направить его в Роскомнадзор в течение 24 часов после выявления утечки. Уведомление должно содержать информацию о инциденте, предполагаемых причинах, возможном вреде для субъектов данных, принятых мерах и лице, которое будет контактировать с РКН.

• Дополнительное уведомление
  Отправляется в течение 72 часов после инцидента и должно включать результаты внутреннего расследования, а также информацию о лицах, чьи действия стали причиной инцидента (если такие имеются).

Даже если вся информация о результатах расследования и виновных лицах уже была указана в первичном уведомлении, оператор все равно обязан направить дополнительное уведомление.

ВАЖНО

Закон требует от компаний принимать локальные акты, направленные на предотвращение и выявление нарушений законодательства в сфере персональных данных, устранение последствий таких нарушений.

На практике компании разрабатывают регламент реагирования на инциденты безопасности персональных данных или включают процедуры в более широкий документ — политику обработки персональных данных. Такой документ помогает распределить роли и обязанности сотрудников по выявлению инцидентов, устранению последствий, расследованию причин утечек и уведомлению уполномоченных органов.

Сегодня российские законы не предусматривают специальную ответственность за утечки персональных данных. Компания, которая допустила инцидент, может быть привлечена к ответственности по ч.ч. 1-2.1 ст. 13.11 КоАП РФ, которые применяются и при других нарушениях требований законодательства о персональных данных.

Проект закона предлагает включить в ст. 13.11 КоАП РФ новые пункты, предусматривающие различные штрафы с учетом:

• Специфики персональных данных; 
• Объема утекшей базы;
• Первичного или повторного факта совершения правонарушения.

Помимо штрафов за утечку данных, оператор может быть наказан за непредоставление уведомления в Роскомнадзор или за предоставление неполной или недостоверной информации. Сейчас за это предусмотрен штраф от 3 тыс. до 5 тыс. рублей по статье 19.7 КоАП РФ. Проект закона предлагает увеличенные штрафы — от 1 млн до 3 млн рублей за нарушение обязательства уведомить РКН.

Утечкой персональных данных можно назвать передачу неуполномоченному лицу или распространение в интернете персональных данных, которые создают неблагоприятные последствия для их субъектов. 

Если Проект Федерального закона № 502104-8 будет принят в неизменном виде, то ответственность за такие инциденты станет жестче:

• Будет достаточно самого факта утечки, без учета того, был ли причинен вред субъектам данных;
• Минимальные штрафы за утечку могут вырасти в 50 раз;
• За повторные утечки будут введены оборотные штрафы — от 0,1% до 3% годовой выручки компании.