Действия оператора в случаях утечек персональных данных

833 просмотра
03.11.2022 15:11
Автор: Марина Климова – профессиональный бухгалтер и независимый налоговый консультант, автор более 70 книг и многочисленных статей по проблемам бухгалтерского учёта и налогообложения, к. э. н.

В сфере обработки персональных данных юридические лица и ИП выполняют функции операторов. Объем их обязанностей определяется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним подзаконными актами.

В частности, оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Федерального закона № 152-ФЗ, Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»). И все же никто не застрахован от внешних посягательств и ошибок, которые могут привести к утечкам персональных данных. Что же делать в таких ситуациях?

Уведомление Роскомнадзора и внутреннее расследование

Обнаружив факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).

Сообщение можно передать через Портал персональных данных, на котором Роскомнадзор организовал соответствующий сервис в разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Заполнение уведомления может вызывать сложности, поскольку ответить нужно на непростые вопросы.

Например, как определить и сформулировать предполагаемые причины, повлекшие нарушение прав субъектов персональных данных? Вероятно, это несанкционированные действия сторонних лиц или сотрудников самого оператора, ставшие возможными ввиду недостаточной защищенности персональных данных. Если выяснится, что оператор виновен в несоблюдении условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных, не исключил несанкционированный доступ к ним, что и повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, оператору грозит штраф, предусмотренный ч. 6 ст. 13.11 КоАП РФ:

  • должностным лицам – 8-20 тыс. руб.;
  • ИП – 20-40 тыс. руб.;
  • юрлицам – 50-100 тыс. руб.

Получается, подавая уведомление об инциденте, оператор может расписаться в собственной неосмотрительности и обеспечить контролеров информацией для выявления нарушения. Это, конечно, не повод пренебрегать установленной законом обязанностью по информировании Роскомнадзора, но, вероятно, стоит заранее составить представление о достаточности собственных усилий по защите персональных данных. В оценке угроз и определении необходимых действий обеспечению защищенности персданных помогут п. 6-16 Требований, утв. Постановлением Правительства РФ от 01.11.2012 г. № 1119 и Приказ ФСТЭК России от 18.02.2013 № 21.

Так, среднестатистической организации (ИП) нужно обеспечить третий (при обработке, в том числе, биометрических персональных данных) или четвертый (если биометрические персданные не обрабатываются) уровень защищенности персданных.

Для обеспечения 3-го уровня защищенности необходимо (п. 14 Требований, утв. Постановлением Правительства РФ от 01.11.2012 г. № 1119):

а) организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечить сохранность носителей персональных данных;

в) утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Так, например, компьютерная техника должна позволять задавать правила доступа пользователей к различным ресурсам, таким как файл, программа, в которых явно указано, что именно можно делать субъекту: читать содержимое файла, выполнять запуск программы и т.п. Должны быть установлены сертифицированные средства защиты информации, включая антивирусное ПО (п. 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Приказом ФСТЭК России от 18.02.2013 № 21, «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утв. Решением Гостехкомиссии России 30.03.1992), Информационные сообщения ФСТЭК России от 04.05.2012 № 240/24/1701, от 30.07.2012 № 240/24/3095);

д) назначить должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе.

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение тех же требований без учета п. «д» (п. 13 Требований, утв. Постановлением Правительства РФ от 01.11.2012 г. № 1119).

Если оператор предпринял необходимые усилия по защите персданных, но их оказалось недостаточно, состава нарушения в его действиях не будет. В таком случае можно будет со спокойной совестью указать в уведомлении причины, повлекшие нарушение прав субъектов персональных данных, которые оператор не мог контролировать.

Характеризуя персональные данные, пострадавшие в ходе инцидента, приведите в уведомлении информацию о содержании скомпрометированной базы данных (категории субъектов персональных данных (например, работники, клиенты, контрагенты и др.), примерное количество записей, перечень категорий персональных данных (например, ФИО, дата рождения, данные документа, удостоверяющего личность, сведения об образовании и др.), актуальность базы данных, а также период, в течение которого собраны данные.

В уведомлении также предлагается оценить вред, нанесенный правам субъектов персданных. Как это сделать? Четкого ответа на вопрос нынешняя нормативная база не содержит, но пока можно пользоваться Проектом Приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». Раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных (в том числе, непреднамеренное) этот документ относит к высокой степени вреда, причиненного субъекту персданных. При оценке роли оператора на первый план выходит вопрос соотношения нанесенного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом «О персональных данных» (пп. 5 п. 1 ст. 18.1 Федерального закона № 152-ФЗ).

Наконец, в уведомлении нужно указать принятые меры по устранению последствий инцидента. Они должны соответствовать требованиям ст. 18.1 и 19 Федерального закона № 152-ФЗ. В частности, следует убедиться, что система защиты персданных соответствует требованиям, восстановить ее функциональность; заняться восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Уведомив об инциденте в течение 24 часов с момента его выявления, нужно не забыть в течение 72 часов также проинформировать Роскомнадзор о результатах внутреннего расследования происшествия, а также предоставить сведения о виновниках (при наличии). Это можно сделать с помощью того же сервиса на портале персональных данных. В этом втором уведомлении нужно указать итоговую информацию о результатах внутреннего расследования, в том числе:

  • о причинах, повлекших неправомерное распространение персональных данных;
  • о нанесенном правам субъекта персональных данных вреде;
  • об информационной системе, к которой был осуществлен несанкционированный доступ;
  • о лицах, чьи действия стали причиной инцидента (ФИО и должность сотрудника оператора или ФИО, наименование, IР-адрес, предполагаемое местонахождение стороннего виновника, если эту информацию удалось установить);
  • о дополнительных мерах, принятых по результатам внутреннего расследования (по устранению доступа, недопущению подобных инцидентов в будущем и иные);
  • о решении оператора с указанием его реквизитов о проведении внутренней проверки.

Непредставление или несвоевременное представление рассмотренных нами уведомлений влечет предупреждение или наложение административного штрафа: на должностных лиц и ИП – 300-500 руб.; на юридических лиц – 3-5 тыс. руб. (ст. 2.4, ст. 19.7 КоАП РФ).

Особенности для операторов, привлекающих третьих лиц для обработки персданных

Оператор вправе поручить обработку персональных данных другому лицу в порядке, установленном п. 3 ст. 6 Федерального закона № 152-ФЗ.

В поручении оператора на обработку персональных данных должны быть указаны в числе прочего требования к этому лицу по защите обрабатываемых персональных данных, включая требование об уведомлении оператора о случаях установления фактов неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Описанные в предыдущем разделе настоящей статьи уведомления должен представить в Роскомнадзор именно оператор (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).

Согласно п. 5 ст. 6 Федерального закона № 152-ФЗ в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет именно оператор.

Сообщение о взломе

Если системы оператора подверглись хакерской атаке, он, помимо вышеописанного взаимодействия с Роскомнадзором, обязан передать сведения о взломе, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (т. н. ГосСОПКА) (п. 12 ст. 19 Федерального закона № 152-ФЗ). Эта обязанность для большинства операторов персональных данных новая – она появилась с 01.09.2022.

О самой системе ГосСОПКА можно прочесть в ст. 5 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Оператором системы является Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Порядок информирования определяет ФСБ России. В настоящее время применяется Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Оператору персональных данных, не являющемуся субъектом критической информационной инфраструктуры, достаточно в течение 24 часов с момента обнаружения компьютерного инцидента передать информацию о нем посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на его официальном сайте в разделе «Сообщить об инциденте».

Отправить
Запинить
Поделиться

Свои замечания и предложения отправляйте на brand@taxcom.ru

Статьи по теме

Еще статьи

Мы всегда готовы вам помочь

Оставьте свой номер, если возникли вопросы. Мы перезвоним и поможем со всем разобраться

Просьба заполнить имя, чтобы консультант знал как к вам обращаться
Заполните поле телефон, чтобы консультант вам перезвонил