Изменения в регулировании ПДн и оборотные штрафы. Как подготовиться и снизить риски

Изменения в регулировании ПДн и оборотные штрафы. Как подготовиться и снизить риски

В 2025 году кардинально ужесточается ответственность за утечку и неправомерное использование персональных данных (ПДн) граждан. Нормы законов, предусматривающие уголовную ответственность за незаконное использование ПДн, действуют уже с 11 декабря 2024 года, с 30 мая 2025 года начнут применяться оборотные штрафы для компаний. Главная цель нового регулирования — снизить количество утечек данных, которые стали источником множества угроз для бизнеса и пользователей, включая различные виды мошенничества и социальную инженерию. Каким образом компаниям, которые оперируют ПДн, подготовиться к нововведениям и снизить риски?

Какие законы предусматривают новое регулирование

Изменения в регулирование обработки ПДн вводят два основных документа, которые были утверждены Президентом России 30 ноября прошлого года.

Первый из них — это федеральный закон №420-ФЗ от 30.11.2024 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (КоАП РФ). Этот документ  ужесточает ответственность за нарушения при обработке (в т. ч. хранении) ПДн, вводит новые формы штрафов, новые составы правонарушений и вместе с этим предусматривает новые способы уменьшения размера ответственности.

Второй нормативный акт — федеральный закон №421-ФЗ от 30.11.2024 «О внесении изменений в Уголовный кодекс Российской Федерации» (УК РФ). Документ предусматривает ответственность за получение ПДн без установленных законом оснований, а также за неправомерный доступ к ним,  меняет структуру рисков, на которые ранее ориентировались специалисты по информационной безопасности.

Вступают в силу эти законы в разное время. В частности, уголовная ответственность за незаконное использование ПДн действует уже с 11 декабря 2024 года. Штрафы за допущение утечек данных, нарушение обработки ПДн и отсутствие уведомления Роскомнадзора о факте утечки будут применяться с 30 мая 2025 года. Второй пункт для бизнеса более трудоемкий с точки зрения организационных мер — к 30 мая компаниям необходимо провести тщательную проверку внутренних документов, которые регулируют порядок обращения с ПДн, направить в Роскомнадзор уведомление об их обработке и провести аудит средств защиты информации.

Замечу, что новое регулирование в сфере ПДн призвано не только напомнить об угрозах, которые несет в себе недобросовестное обращение с ПДн, но и мотивировать бизнес переходить на новый уровень цифровой зрелости и пересматривать подход к защите данных внутри компании. Предположу, что с принятием новых законов в этом направлении надзор будет усилен, поэтому повышение защищенности информации и выстраивание новой системы оценки рисков уже сейчас стали для бизнеса приоритетным вопросом.

ФЗ №421: основные изменения в Уголовный кодекс РФ

Изменения, которые вводит ФЗ №421, выглядят следующим образом:

• вводится статья 272.1 УК РФ — ответственность за использование ПДн, полученных незаконным путем, включая сбор без согласия субъекта или за рамками такого согласия;
• в УК РФ вводятся шесть новых составов преступления, ответственность по ним — до 10 лет лишения свободы;
• нарушение неприкосновенности частной жизни (ст. 137 УК РФ) теперь отделено от сбора ПДн без законного основания. Таким образом, могут измениться подходы к проверке сотрудников, контрагентов и другие внутренние процедуры, которые опирались на привычную практику, сформированную применением статей УК РФ и ФЗ «О персональных данных».

Новая статья УК РФ  272.1 описывает ответственность за неправомерное использование незаконно полученных ПДн. Помимо общих для уголовного права отягчающих обстоятельств более тяжкие составы предусмотрены за незаконное использование ПДн специальных категорий (сведения о здоровье, расовой принадлежности, политических взглядах и т. д.), данных несовершеннолетних, биометрии и незаконную трансграничную передачу ПДн. В случае причинения тяжких последствий или совершения преступления организованной группой максимальная ответственность — лишение свободы на срок до 10 лет и штраф до 3 млн руб.

Стоит обратить внимание, что в новой статье нет конкретики об использовании ПДн, и это значит, что офицерам безопасности предстоит оценить все существующие в компании практики использования ПДн с точки зрения потенциальных рисков. Например, при проверке контрагентов и сотрудников, поиске по открытым источникам и так далее.

В свете нововведений компаниям важно провести внутренний аудит с точки зрения разграничения ответственности и в целом внутреннего регулирования доступа к ПДн: какой доступ и у каких сотрудников есть, как он зафиксирован в документах организации, какие полномочия предусмотрены. Также обязательно нужен локальный нормативный акт, который определяет компетенции сотрудников ИБ и сотрудников служб безопасности по использованию ПДн. Рассматривать нововведения как прямую угрозу сотрудникам ИБ и СБ не стоит, но изменение регулирования наверняка потребует пересмотра отдельных бизнес-процессов. 

ФЗ №420: уведомления РКН, штрафы и основные изменения в КоАП РФ

Изменения, которые вводит ФЗ №420, выглядят следующим образом:

• увеличиваются все размеры ответственности вплоть до оборотного штрафа (1-3% от всех доходов компании);
• вводятся девять новых составов правонарушения (части 9 – 18 ст. 13.11 КоАП РФ);
• меняется подход законодателя к нарушениям в сфере ПДн, усиливается значимость обеспечения ИБ для организации;
• увеличивается ответственность за неуведомление Роскомнадзора о начале обработки данных;
• повышается важность внутреннего расследования инцидентов ИБ.

А теперь разберем их подробнее. По тем нарушениям, которые были предусмотрены в законодательстве раньше, ФЗ №420 повышает размер штрафов, предусмотренных статьей 13.11 КоАП РФ. В частности, за нарушение цели и объема обработки ПДн максимальная сумма штрафа для юридических лиц выросла до 300 тыс руб., за повторное нарушение — 500 тыс руб. (ранее сумма была 100 тыс руб.).

Из новшеств появились штрафы за то, что организация не уведомила Роскомнадзор о своем намерении обрабатывать ПДн, — сумма штрафа от 100 до 300 тыс руб. Такое уведомление компания обязана направить в ведомство заблаговременно. Форма такого уведомления закреплена на сайте Роскомнадзора. Важный нюанс, который стоит учесть: если речь идет о группе компаний или другой корпоративной структуре, где несколько юрлиц работают с ПДн, то уведомление должно быть направлено от каждой компании, которая попадает под определение оператора ПДн, приведенное в п. 2 ст. 3 ФЗ «О персональных данных». Это связано с тем, что по закону о ПДн оператором ПДн является индивидуальное юридическое лицо.

Более крупные штрафы предусмотрены за несвоевременное уведомление об утечке ПДн или отсутствие такого уведомления, то есть сокрытие факта утечки — они составляют от 1 до 3 млн руб. Уведомлений об утечке должно быть два. Первое необходимо направить в течение 24 часов после инцидента, в нем необходимо указать информацию об организации, сумму предполагаемого ущерба, оценку предполагаемого объема утечки данных и категорию скомпрометированных ПДн. Второе уведомление необходимо направить в Роскомнадзор в течение 72 часов, в нем должны быть приведены результаты внутреннего расследования по итогам утечки данных. Важно, что уведомлять об утечке данных необходимо вне зависимости от ее масштабов, и отсутствие каждого из уведомлений образует отдельный состав нарушения. То есть максимальный размер штрафа — 6 млн руб. за одну утечку.

Таким образом, в течение трех дней компания должна провести большой объем внутренних работ, чтобы оценить ущерб и масштабы инцидента. При этом, согласно данным исследований экспертно-аналитического центра InfoWatch, на сегодняшний день более половины российских компаний не имеют сформированных методик оценки ущерба от утечек информации. И в этом направлении бизнесу предстоит масштабная работа.

По всем этим нарушениям также вводятся штрафы для физических и должностных лиц в компании — они составляют от 5 до 100 тыс руб. в зависимости от конкретного нарушения (рис. 1).

Рисунок 1. Как вырастут штрафы за нарушение цели и объема обработки ПДн, а также отсутствие уведомления Роскомнадзора

По текущим изменениям в регулировании можно сделать вывод о том, что в настоящий момент у законодательства есть две важные цели: создать объективный реестр операторов ПДн и замотивировать их обеспечивать должный уровень защиты ПДн и ИБ в целом. Подчеркну, что задача заключается не в сборе штрафов, а именно в мотивации — экономия на средствах защиты информации будет обходиться дороже, чем выстраивание адекватной и эффективной системы защиты данных внутри компании. 

ФЗ №420: оборотные штрафы и когда они могут быть снижены

Кроме санкций за сокрытие факта утечки и отсутствие уведомления Роскомнадзора новый закон вводит фиксированные штрафы за допущенную утечку, а за повторное допущение утечки — оборотные штрафы. Последние грозят компании самыми крупными выплатами.

Сумма штрафа за допущение утечки будет зависеть от масштаба инцидента. Чтобы его определить, в законе приведены две количественные метрики — это число субъектов ПДн (физических лиц, чьи данные были скомпрометированы) и идентификаторов (записи в базе данных, по которым можно определить субъекта ПДн). Диапазон сумм — от 3 до 15 млн руб., подробная разбивка на Рисунке 2.

Рисунок 2. Штрафы за допущение утечки данных — фиксированные и оборотные

Оборотные штрафы за повторную утечку данных составят 1-3% от совокупного дохода компании, но в определенных законом пределах — не менее 20 млн руб. и не более 500 млн руб. Если повторно утекли ПДн специальной категории или биометрия, то минимальный размер штрафа выше — 25 млн руб.

И здесь есть важнейший нюанс — у бизнеса есть возможность повлиять на размер возможных штрафов, поскольку в законодательстве предусмотрена возможность снизить их до 0,1% от дохода компании. На это смогут рассчитывать организации, которые соответствуют трем условиям. Первое условие — компания в течение трех лет до инцидента направляла не менее 0,1% своего дохода на услуги и решения организаций, которые имеют лицензию на разработку средств шифрования и средств защиты конфиденциальной информации. Сюда же можно будет отнести услуги по внедрению и интеграции таких решений с тем условием, что они напрямую связаны со средством защиты или продуктом. В будущем, возможно, к этому добавятся и расходы на обучение сотрудников вопросам ИБ.

Второе условие — в течение года до инцидента компания должна в полном объеме соблюдать требования по обработке персональных данных, то есть Постановление Правительства №1119, требования ФСТЭК, требования к сертификатам, к криптошифрованию и другие. И, наконец, третье условия — компания не должна привлекаться к ответственности за нарушение требований к защите информации или использование несертифицированных технических средств.

ПОДВЕРСТКА В ВИДЕ ТЕКСТВОГО БЛОКА, ВЫДЕЛЕННАЯ ВИЗУАЛЬНО

Подготовка к новым требованиям: дорожная карта

Работа большинства заказчиков InfoWatch напрямую связана с обработкой ПДн, и мы сформировали для них дорожную карту подготовки к новому регулированию сферы ПДн. Нашей целью было помочь бизнесу провести действительно качественную оценку потенциальных рисков, найти пути их устранения и при этом не перегрузить компанию операционной работой.

Аудит перемещения ПДн. Инструменты — опрос всех подразделений, составление карты передачи и обработки ПДн в периметре компании.

Аудит средств защиты информации и информационных систем персональных данных (ИСПДн). Оценка перечня средств защиты информации, которые используются в компании, как организован доступ к ним, как выстроена система защиты информации.

Подготовка локальных нормативных актов и политик, а также внешних документов — например, согласия на обработку ПДн для клиентов и сотрудников, политик обработки ПДн для внешних пользователей, и т. д. Создавать их необходимо на базе той информации, которую получили по итогам первого и второго пунктов.

Утверждение регламентов проведения мероприятий информационной безопасности и реагирования на инциденты. В первую очередь это методика оценки утечки информации, ущерба от нее, положение о реагировании на инциденты, документы, разграничивающие ответственность компании и сотрудника. В случае утечки это позволит оперативно среагировать и собрать данные для уведомления Роскомнадзора.

Направление уведомлений о намерении начать обработку ПДн в Роскомнадзор.

Организация текущего контроля и отчетности. Это важно, чтобы показать контролирующим органам добросовестность компании на протяжении длительного периода и в случае повторной утечки снизить размер оборотного штрафа.

ПОДВЕРСТКА В ВИДЕ ТЕКСТВОГО БЛОКА, ВЫДЕЛЕННАЯ ВИЗУАЛЬНО

Решения InfoWatch для защиты персональных данных

ГК InfoWatch адаптировала свои решения к новым требованиям по защите ПДн, реагированию на инциденты ИБ, которые предусматривают изменения в законодательстве. Ключевой продукт линейки по защите данных, DLP-системы TrafficMonitor, позволяет отслеживать и строить карты перемещения ПДн внутри компании, оценивать возможность утечки данных, обращать внимание офицера ИБ на потенциальные риски и слабые места.

В 2024 году ГК InfoWatch запатентовала технологию для защиты ПДн — «Способ автоматического анализа выгрузок из баз данных». Этот подход реализован в DLP-системе TrafficMonitor и позволяет анализировать неструктурированную информацию и контролировать исходящие потоки данных, защищая таким образом ПДн от несанкционированной передачи. Решение вошло в ТОП-10 лучших изобретений в области ИБ и кибербезопасности по версии Роспатента.

Также в InfoWatch разработаны три авторские методики для аудита документов и процессов на предмет соответствия требованиям законодательства. Методика аудита персональных данных позволяет создать объективную картину использования ПДн в компании, выявить уязвимости систем и несовершенство организационно-правовых процессов. Методика сбора, обработки и анализа сведений об утечке решает задачу проведения расследования инцидента в сжатые сроки. Методика сбора и обработки информации об ущербе позволяет определить реальный объем утечки и выявить дополнительные критические факторы ИБ.

Реклама. АО «ИНФОВОТЧ», ИНН: 7713515534, Erid: 2VfnxxviRda