Под утечкой персональных данных (ПДн) подразумевается факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн.
Причем количество субъектов, чьи ПДн утекли, не имеет значения!
Знаете ли Вы, как действовать в таком случае? Поговорим об этом!
Если утечка у Вас повлекла нарушение прав субъектов ПДн, то Вы, как оператор, обязаны уведомить Роскомнадзор (РКН) и провести внутреннее расследование.
Но уведомление будет не одно!
Если при этом Вы взаимодействуете к Национальный координационный центр по компьютерным инцидентам (НКЦКИ), а утечка произошла в результате компьютерного инцидента, то Вы также обязаны в течение 24 часов с момента обнаружения компьютерного инцидента направить информацию о нем по установленным форматам с использованием каналов такого информационного взаимодействия.
1 этап
В течение 24 часов с момента выявления утечки оповестите о ней РКН (первичное уведомление). Сделать это можно на бумаге или в электронном виде на сайте РКН.
Первичное уведомление включает в себя информацию об инциденте (дата, время, содержание ПДн), его причинах, предполагаемом вреде правам субъектов ПДн, о принятых мерах по устранению последствий, контактном лице оператора, а также сведения об операторе.
На указанный Вами в первичном уведомлении адрес электронной почты РКН направит письмо, содержащее сведения о дате и времени передачи уведомления в информационную систему РКН, а также номер и ключ уведомления.
2 этап
Начните внутреннее расследование. Сделать это необходимо незамедлительно, поскольку у Вас есть только 72 часа на него. Необходимо установить причины утечки, причиненный вред, выявить нарушителей и усилить меры безопасности.
Обычно приказом создается комиссия, в которую включают специалистов безопасности, IT-специалистов, руководителя подразделения, обрабатывающего утекшие ПДн. При необходимости можно привлечь сотрудников иных подразделений. Результат работы комиссии необходимо зафиксировать в акте.
3 этап
В течение 72 часов с момента выявления утечки предоставьте в РКН информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление). Сделать это также можно на бумаге или в электронном виде на сайте РКН.
Дополнительное уведомление включает в себя информацию о результатах внутреннего расследования (причины, вред, дополнительно принятые меры), в том числе о решении оператора о проведении внутреннего расследования с указанием его реквизитов, а также о лицах, действия которых стали причиной инцидента (при наличии), IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств и иные сведения о выявленном инциденте, имеющиеся в распоряжении оператора.
При направлении дополнительного уведомления в электронном виде необходимо указать номер и ключ первичного уведомления.
Если дополнительное уведомление не представить, то РКН направить требование о его представлении. Срок ответа – 1 рабочий день.
Также РКН может запросить недостающие сведения и (или) пояснения относительно некорректности представленных в уведомлениях сведений. На ответ дается 3 рабочих дня.
Ваша ответственность
Сейчас отдельного состава за утечку ПДн пока нет. Хотя вот уже больше полугода активно обсуждается введение оборотных штрафов. Привлечь оператора могут сразу по нескольким статьям КоАП РФ (если эти действия не содержат уголовно наказуемого деяния), в зависимости от выявленных нарушений. В частности,
за обработку ПДн в случаях, не предусмотренных законодательством РФ, - штраф:
для граждан
от 2 до 6 тыс. руб.
для ИП
от 10 до 20 тыс. руб.
для ЮЛ
от 60 до 100 тыс. руб.
за повторную обработку ПДн в случаях, не предусмотренных законодательством РФ, - штраф:
для граждан
от 4 до 12 тыс. руб.
для ИП
от 50 до 100 тыс. руб.
для ЮЛ
от 100 до 300 тыс. руб.
за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, - штраф:
для граждан
от 5 до 10 тыс. руб.
для ИП
от 40 до 50 тыс. руб.
для ЮЛ
от 100 до 200 тыс. руб.
за нарушение правил защиты информации - штраф:
для граждан
от 0,5 до 1 тыс. руб.
для ИП
от 1 до 2 тыс. руб.
для ЮЛ
от 10 до 15 тыс. руб.
За не уведомление РКН об утечке или результатах внутреннего расследования, не предоставление запрошенной информации, неисполнение требований его должностных лиц Вам грозят следующие штрафы:
за непредставление или несвоевременное представление сведений (информации) или представление таких сведений (информации) в неполном объеме или в искаженном виде - штраф:
для граждан
от 100 до 300 руб.
для ИП
от 300 до 500 руб.
для ЮЛ
от 3 до 5 тыс. руб.
за неповиновение законному распоряжению или требованию должностного лица РКН - штраф:
для граждан
от 0,5 до 1 тыс. руб.
для ИП
от 2 до 4 тыс. руб.
за невыполнение в установленный срок законного предписания (постановления, представления, решения) РКН об устранении нарушений законодательства - штраф:
для граждан
от 300 до 500 руб.
для ИП
от 1 до 2 тыс. руб.
для ЮЛ
от 10 до 20 тыс. руб.
Автор: Юлия Тулинова, Юрист для онлайн-бизнеса, блогеров, фрилансеров
Юрист для онлайн-бизнеса, блогеров, фрилансеров | Юлия Тулинова
Рассказываю, как юридически защитить онлайн-проект, избегать потерь и блокировок счетов ✅ Делюсь лайфхаками ✅ Дарю скидки на услуги Обо мне: https://pravotulinova.ru/ Для получения консультации пишите t.me/infopravotulinova
Начать дискуссию