Какими бывают инциденты по 152 ФЗ и GDPR и как действовать

По всей видимости, государственные структуры РФ будут перенимать западный опыт, поэтому необходимо заранее подумать об оптимизации внутренних систем, процедуре обработки и удаления собранных ПД.

Когда говорят про нарушение безопасности персональных данных, чаще всего подразумевают именно утечки. Но есть еще физический, материальный и нематериальный ущерб, нанесенный субъекту ПД вследствие несоблюдения требований ИБ: ограничение прав физических лиц, дискриминация, репутационный вред, мошенничество и другие проблемы.

09/01/23

Элина Муханова

Эксперт Б-152

Какими бывают инциденты по 152-ФЗ и GDPR и как действовать

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Персональные данные (ПД) — это информация, позволяющая идентифицировать конкретного человека.

В соответствии с поправками к ФЗ № 152, с 1 сентября 2022 года в случае установления факта неправомерной или случайной передачи персональных данных компании обязаны уведомить Роскомнадзор и ГосСОПКА (ФСБ). В европейском генеральном регламенте о защите данных (GDPR) другая формулировка: нарушение безопасности ПД (personal data breach) охватывает ликвидацию, потерю, изменение, несанкционированное раскрытие или доступ к личной информации. Следовательно, в РФ может теряться около 30% инцидентов, нарушающих конфиденциальность и целостность ПД.

Контролирующими органами в Европе рассматриваются больше инцидентов в сравнении с Роскомнадзором, при этом европейские регуляторы дают детальные рекомендации по уведомлениям, техническим и организационным мерам.

По всей видимости, государственные структуры РФ будут перенимать западный опыт, поэтому необходимо заранее подумать об оптимизации внутренних систем, процедуре обработки и удаления собранных ПД.

Основной причиной нарушения безопасности персональных данных является утечка информации. Такого термина нет в законе, поэтому предлагаются пять инцидентов:

• Несанкционированный доступ к личной информации.
• Использование вредоносного программного обеспечения.
• Превышение полномочий работников компании.
• Разглашение конфиденциальных сведений.
• Компрометация учетных данных.

В таких случаях организации могут получить штраф на сумму до 100 тысяч рублей согласно ст. 13.11 КоАП РФ. Минцифры Р Ф в скором времени подготовит законопроект о введении оборотных штрафов за утечку персональных данных пользователей, и тогда сумма может увеличиться. Также планируется создание фонда материальных компенсаций пострадавшим от утечки данных.

Помимо этого, в России предусмотрены штрафы за несоблюдение сроков ликвидирования ПД и игнорирования обращений субъектов ПД или требований законодательства. К примеру, гражданин обратился в организацию с требованием прекратить обрабатывать его персональные данные, но его заявление проигнорировали. Или компания продолжила использовать ПД после достижения целей их обработки. В данном случае предусмотрен штраф до 100 тыс. рублей, при повторном нарушении правил — до 300 тыс. рублей.

К инцидентам также относится потеря ключа на зашифрованном USB-носителе, после чего данные оказались недоступными. Или отсутствие доступа к сервисам в течение длительного промежутка времени, в том числе из-за перебоев с электроснабжением, атаки хакеров или других непредвиденных обстоятельств. Но для таких случаев наказания не предусмотрено.

Существует два вида инцидентов с ПД.

Первый вид — это неправомерная или случайная передача ПД, которая приводит к нарушению прав субъектов ПД и требует уведомить Роскомнадзор. Это определение вытекает из ст. 21 152-ФЗ. Оператор обязан в течение 24 часов поставить в известность Роскомнадзор о произошедшем инциденте, в течение 72 часов — о результатах внутреннего расследования выявленного инцидента. Роскомнадзор обменивается сведениями с реестром учета инцидентов.

Второй вид согласно ст. 19 152-ФЗ предполагает только незаконную передачу личных данных вследствие кибератаки и требующую непременного уведомления госструктур. В таком случае организация должна сообщить о происшествии в центр ГосСОПКА, который в свою очередь направляет информацию в реестр учета инцидентов.

На данный момент, не совсем понятно, когда нужно уведомлять центр ГосСОПКА, и это является проблемой. Чтобы обратиться в госструктуру, организация должна иметь определенное количество сотрудников, обладающих знаниями и опытом в области ИБ, а также сертифицированные средства защиты информации, лицензии ФСБ. Помимо этого, слишком большой объем информации, поступающей в государственные структуры со всей страны, может привести к повышенной нагрузке. Вероятно, появится фильтр с параметрами инцидентов, где можно будет выбирать специфику деятельности компании, типы данных и др.

Важно сообщать Роскомнадзору не только те инциденты, которые выявила компания, но и те, о которых сотрудники узнали через средства массовой информации, телеграм-каналы, даркнет и т. д.

10 основных задач для минимизации ущерба от инцидентов по 152-ФЗ и GDPR:

• Определение простой методики оценки рисков в отношении владельцев персональных данных, которая может быть частью DPIA.
• Определение политики и алгоритмов реагирования на инциденты, так как их часто запрашивают контролирующие органы.
• Создание эффективных информационных каналов для осведомления об инцидентах, поддержание культуры доверия.
• Разработка и планирование мероприятий по обучению персонала работе с ПД.
• Создание стандартного документа, содержащего описание мер по обеспечению безопасности ПД. Он может являться частью политики конфиденциальности.
• Улучшение взаимодействия между разными отделами организации, так как они вместе работают с собранной информацией, но цели их отличаются.
• Ведение документации всех инцидентов, реестров и записей. Контролирующие органы часто запрашивают анализ причин.
• Организовать связь DPO и остальных сторон: субъектов персональных данных, специалистов компании, надзорного органа.
• Совершенствование мер по обеспечению информационной безопасности: антивирусы, резервное копирование, контроль доступа к данным сотрудников оператора, использование шифрования при передаче персональных данных и др.
• Изучение актуальных рекомендаций и шаблонов контролирующих органов. Такой шаблон представлен в виде анкеты у Роскомнадзора. Так как необходимо оперативно сообщать в госорганы об инциденте, важно располагать сведениями о категории субъектов, их количестве, категории и составе ПД, предполагать возможный ущерб. Оставшуюся информацию можно добавить по итогам расследования и принятия мер.

Профессия Data Protection Officer набирает популярность в связи с ужесточением законодательства. Специалисты по защите персональных данных должны не только обеспечивать информационную безопасность, но и коммуницировать с другими отделами, госструктурами, готовить документацию. Необходимо уже сейчас ознакомиться с актуальными рекомендациями и формами Роскомнадзора, провести внутренний аудит компании и наладить процессы, чтобы ущерб от инцидентов по 152-ФЗ и GDPR был минимальным.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме