Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
Маркетплейсы
AI
Образование
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Юлия Тулинова
Право

Утечка персональных данных: что делать, если избежать не удалось

Под утечкой персональных данных (ПДн) подразумевается факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн. Причем количество субъектов, чьи ПДн утекли, не имеет значения!

Знаете ли Вы, как действовать в таком случае? Поговорим об этом.

Утечка персональных данных: что делать, если избежать не удалось

Если утечка у Вас повлекла нарушение прав субъектов ПДн, то Вы, как оператор, обязаны уведомить Роскомнадзор (РКН) и провести внутреннее расследование. Но уведомление будет не одно!

Если при этом Вы взаимодействуете к Национальный координационный центр по компьютерным инцидентам (НКЦКИ), а утечка произошла в результате компьютерного инцидента, то Вы также обязаны в течение 24 часов с момента обнаружения компьютерного инцидента направить информацию о нем по установленным форматам с использованием каналов такого информационного взаимодействия.

1 ЭТАП

В течение 24 часов с момента выявления утечки оповестите о ней РКН (первичное уведомление). Сделать это можно на бумаге или в электронном виде на сайте РКН.

Первичное уведомление включает в себя информацию об инциденте (дата, время, содержание ПДн), его причинах, предполагаемом вреде правам субъектов ПДн, о принятых мерах по устранению последствий, контактном лице оператора, а также сведения об операторе.

На указанный Вами в первичном уведомлении адрес электронной почты РКН направит письмо, содержащее сведения о дате и времени передачи уведомления в информационную систему РКН, а также номер и ключ уведомления.

2 ЭТАП

Начните внутреннее расследование. Сделать это необходимо незамедлительно, поскольку у Вас есть только 72 часа на него. Необходимо установить причины утечки, причиненный вред, выявить нарушителей и усилить меры безопасности.

Обычно приказом создается комиссия, в которую включают специалистов безопасности, IT-специалистов, руководителя подразделения, обрабатывающего утекшие ПДн. При необходимости можно привлечь сотрудников иных подразделений. Результат работы комиссии необходимо зафиксировать в акте.

3 ЭТАП

В течение 72 часов с момента выявления утечки предоставьте в РКН информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление). Сделать это также можно на бумаге или в электронном виде на сайте РКН.

Дополнительное уведомление включает в себя информацию о результатах внутреннего расследования (причины, вред, дополнительно принятые меры), в том числе о решении оператора о проведении внутреннего расследования с указанием его реквизитов, а также о лицах, действия которых стали причиной инцидента (при наличии), IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств и иные сведения о выявленном инциденте, имеющиеся в распоряжении оператора.

При направлении дополнительного уведомления в электронном виде необходимо указать номер и ключ первичного уведомления.

Если дополнительное уведомление не представить, то РКН направить требование о его представлении. Срок ответа – 1 рабочий день.

Также РКН может запросить недостающие сведения и (или) пояснения относительно некорректности представленных в уведомлениях сведений. На ответ дается 3 рабочих дня.

Ответственность

Сейчас отдельного состава за утечку ПДн пока нет. Хотя вот уже больше полугода активно обсуждается введение оборотных штрафов. Привлечь оператора могут сразу по нескольким статьям КоАП РФ (если эти действия не содержат уголовно наказуемого деяния), в зависимости от выявленных нарушений. В частности,

  • за обработку ПДн в случаях, не предусмотренных законодательством РФ, предусмотрен штраф для граждан в размере от 2 до 6 тыс. руб.; для ИП - от 10 до 20 тыс. руб.; для ЮЛ - от 60 до 100 тыс. руб.;
  • за повторную обработку ПДн в случаях, не предусмотренных законодательством РФ, предусмотрен штраф для граждан в размере от 4 до 12 тыс. руб.; для ИП - от 50 до 100 тыс. руб.; для ЮЛ - от 100 до 300 тыс. руб.;
  • за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, предусмотрен штраф для граждан в размере от 5 до 10 тыс. руб.; для ИП - от 40 до 50 тыс. руб.; для ЮЛ - от 100 до 200 тыс. руб.;
  • за нарушение правил защиты информации предусмотрен штраф для граждан в размере от 0,5 до 1 тыс. руб.; для ИП - от 1 до 2 тыс. руб.; для ЮЛ - от 10 до 15 тыс. руб.

За не уведомление РКН об утечке или результатах внутреннего расследования, не предоставление запрошенной информации, неисполнение требований его должностных лиц Вам грозят следующие штрафы:

  • за непредставление или несвоевременное представление сведений (информации) или представление таких сведений (информации) в неполном объеме или в искаженном виде предусмотрен штраф для граждан в размере от 100 до 300 руб.; для ИП - от 300 до 500 руб.; для ЮЛ - от 3 до 5 тыс. руб.;
  • за неповиновение законному распоряжению или требованию должностного лица РКН предусмотрен штраф для граждан в размере от 0,5 до 1 тыс. руб.; для ИП - от 2 до 4 тыс. руб.;
  • за невыполнение в установленный срок законного предписания (постановления, представления, решения) РКН об устранении нарушений законодательства предусмотрен штраф для граждан в размере от 300 до 500 руб.; для ИП - от 1 до 2 тыс. руб.; для ЮЛ - от 10 до 20 тыс. руб.

Ваш Юрист по защите онлайн-проектов | Юлия Тулинова

#персональныеданные #роскомнадзор #утечка #штраф #бизнес #онлайн #юрист

33
Начать дискуссию