Утечка персональных данных: законы и штрафы

<p> Количество утечек конфиденциальной информации в мире в 2023 году увеличилось более чем в 2 раза (на 111,5%) в сравнении с предыдущим годом. Таким образом за 2023 году произошло 11 549 инцидентов. Также происходит рост продуктивности киберпреступников, что выражается в увеличении объёма похищенных данных. За прошедший год произошло 95 утечек баз данных из российских компаний. </p> <p> Cпособы получения данных различаются и не всегда связаны со взломом систем информационной безопасности. Распространенная причина утечек данных — действия сотрудников как в коммерческих, так и в государственных организациях. Примерно три четверти (79%) случаев утечки персональных данных происходит по вине сотрудников компаний. Часть из них делает это сознательно, а остальные нарушают закон из-за нехватки знаний и опыта в этом вопросе. </p> <p> Утечки данных влекут за собой серьёзные последствия для юридических лиц: ущерб репутации компании, штрафы и даже уголовная ответственность. Для того, чтобы избежать этих проблем и защитить данные, стоит тщательно подходить к обработке и защите личной информации сотрудников. </p> <h2>Контроль в сфере персональных данных</h2> <p> Нормативно-правовая база в России начала своё развитие в этом вопросе с 1995 года, когда появился Федеральный закон (далее ФЗ) «Об информации, информатизации и защите информации». К 2006 году стало понятно, что необходимо адаптировать законодательство под текущие реалии. Благодаря этому появился Федеральный закон № 152-ФЗ «О персональных данных», который регулирует все основные аспекты и определил понятийный аппарат. С 2008 года главным фактором, который контролирует выполнение данного ФЗ стала Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор. </p> <p> Полномочия Роскомнадзор распространяются на правовое поле обработки персональных данных, за регулирование выполнения требований по защите персональных данных отвечает Федеральной службы по техническому и экспортному контролю — ФСТЭК России. </p> <p> Кроме основного закона № 152-ФЗ существует ряд других нормативно-правовых актов, направленных на регулирование обработки и защиты персональных данных (далее — ПДн), вот некоторые из них: </p> <ul class="numeric-marker-list" style="text-align: justify;"> <li>Постановление правительства РФ № 1119 от 01.11.2012</li> <li>Трудовой кодекс РФ (Статья 14)</li> <li>Приказ ФСТЭК России № 21 от 18.02.2013</li> <li>Приказ ФСБ России № 378 от 10.07.2014</li> </ul> <h2>Правила обработки персональных данных и штрафы за их нарушения</h2> <ul class="line-marker-list" style="text-align: justify;"> <li>Необходимо подать в Роскомнадзор (далее — РКН) уведомления об обработке ПДн<br> КоАП РФ: штраф до 5 000 рублей</li> <li>Обработка ПДн должна происходить в соответствии с целями, для которых эти данные собирались<br> КоАП РФ: штраф от 2 000 до 300 000 рублей</li> <li>Для обработки ПДн, необходимо получить согласие только в письменной форме<br> КоАП РФ: штраф от 10 000 до 1 500 000 рублей</li> </ul> <h3>Значительная часть ответственности лежит на операторе персональных данных</h3> <ul class="line-marker-list" style="text-align: justify;"> <li>Обязанности Оператора: <ul> <li>Назначить ответственного за организацию обработки ПДн;</li> <li>Осуществлять внутренний контроль соответствия обработки ПДн;</li> <li>Проводить оценку вреда;</li> <li>Ознакомить работников с нормативными правовыми актами и локальными нормативными актами по обработке и защите ПДн;</li> <li>Определить угрозы безопасности ПДн;</li> <li>Разработать ЛНА по обработке и защите ПДн;</li> <li>Применять сертифицированные средства защиты информации;</li> <li>Провести оценку эффективности мер по обеспечению безопасности</li> </ul> <br> КоАП РФ: штраф от 2 000 до 300 000 рублей</li> <li>Оператор обязан заключать поручение обработки ПДн иному лицу<br> КоАП РФ: штраф от 2 000 до 300 000 рублей</li> <li>Оператор обязан уведомить о трансграничной передаче и получить согласия<br> КоАП РФ: штраф от 2 000 до 300 000 рублей</li> <li>Оператору необходимо опубликовать на своем сайте политику в отношении обработки ПДн<br> КоАП РФ: штраф от 1 500 до 60 000 рублей</li> <li>В случае запроса со стороны граждан оператор обязан в течение 10 дней предоставить информацию о порядке обработки ПДн) этих граждан<br> КоАП РФ: штраф от 2 000 до 80 000 рублей</li> <li>В случае запроса со стороны граждан / организаций оператор должен в течении 7 дней уточнить, заблокировать или уничтожить ПДн<br> КоАП РФ: штраф от 2 000 до 500 000 рублей</li> <li>Операторы, собирающие личные данные россиян через интернет обязаны соблюдать требования к их записи, систематизации, накоплению, хранению, уточнению или извлечению с использованием баз данных находящихся в РФ<br> КоАП РФ: штраф от 30 000 до 18 000 000 рублей</li> </ul> <h3>Отдельно стоит обратить внимание на сбор и обработку биометрических данных, которые активно собираются банковским сектором России</h3> <ul class="line-marker-list" style="text-align: justify;"> <li>Банки, многофункциональные центры и некоторые другие организации должны размещать и обновлять биометрические персональные данные в государственной информационной системе «ЕСИА» в соответствии с законодательством РФ.<br> КоАП РФ: штраф от 100 000 до 1 000 000 рублей</li> </ul> <p>Не соблюдение правил и требований законодательства при обработке и защите ПДн может привести к утечке данных.</p> <p>Для того, чтобы избежать штрафов и других проблем, необходимо строго соблюдать законодательство в области защиты персональных данных и обеспечивать их надёжное хранение и обработку. Это требует от компаний повышенного внимания к безопасности данных, внедрения соответствующих мер защиты и регулярного пересмотра своих практик обработки информации.</p> <h2>Не рискуйте своей репутацией — доверьтесь опыту «Форуса»!</h2> <p>Наша компания предлагает услуги по обеспечению безопасности персональных данных. Мы поможем соблюдать требования законодательства, сохранить репутацию компании и избежать крупных штрафов.</p> <p>Обратившись в «Форус», вы получите профессиональную поддержку и консультации по вопросам защиты персональных данных, а также помощь в разработке и внедрении необходимых мер безопасности.</p> <p><a class="btn border-radius-lg bg-yellow-dark font-size-lg font-bold line-height-lg me-4 px-3 py-2" href="/cifrovizaciya-gos-sektora/informatsionnaya-bezopasnost/zashchita-personalnykh-dannykh/" target="_blank;">Узнать подробнее</a></p>