Изменения в регулировании ПДн: как подготовиться к нововведениям и снизить риски

Нововведения, касающиеся регулирования ПДн, отражены в двух федеральных законах, подписанных Президентом РФ в один день: 30 декабря 2024 года.

ФЗ №420 вносит изменения в Кодекс об административных правонарушениях РФ (КоАП) и предполагает, в частности, новые формы штрафов, радикальное увеличение размеров ответственности, новые составы ответственности, но при этом и новые способы уменьшения размера отвественности.

ФЗ №421 вносит изменения в Уголовный кодекс РФ (УК). Он определяет ответственность за получение данных без законных оснований и за незаконный доступ к ПДн, а также изменяет привычную специалистам ИБ структуру рисков.

Федеральные законы, вносящие изменения в регулирование сферы ПДн
Источник: презентация InfoWatch

Вступление в силу этих законов происходит по-разному. 11 декабря 2024 года уже начала действовать уголовная ответственность за незаконное использование ПДн. 30 мая 2025 года вступают в силу изменения в КоАП: новые штрафы за допущение утечки, за отсутствие уведомления Роскомнадзора (РКН) об утечке и за нарушение условий обработки ПДн. Соответственно, к этой дате компаниям нужно провести комплексную проверку документов, устанавливающих порядок взаимодействия с ПДн, направить в РКН уведомления о намерении осуществлять обработку ПДн и провести аудит средств защиты информации и процессов их обработки.

«Персональные данные – это сфера, где происходят постоянные изменения и часто возникают угрозы. Поэтому необходимо особенно тщательно подходить к их защите. Законодатель, принимая новые законы, не только напоминает нам об угрозах, связанных с недобросовестным обращением с ПДн, но и путем введения штрафов мотивирует нас улучшать защищенность данных и следить за законностью их использования. Можно предположить также, что теперь в этой сфере будет больше надзора, поэтому компаниям так или иначе придется повышать уровень комплаенса», – комментирует юрист по информационной безопасности InfoWatch Илья Башкиров.

Юрист по информационной безопасности InfoWatch Илья Башкиров
Фото предоставлено компанией InfoWatch

ФЗ №421: основные изменения в УК РФ

Федеральный закон 421-ФЗ дополняет УК РФ новой статьей 272.1, посвященной неправомерному использованию незаконно полученных персональных данных. Помимо общих для уголовного права более тяжких составов ввиду совершения преступления из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору и с использованием служебного положения, более тяжкий состав по этой статье формирует незаконное использование специальных категорий персональных данных, ПДн несовершеннолетних, биометрических ПДн, а также незаконное использование, связанное с трансграничной передачей данных. Максимальная ответственность вплоть до лишения свободы на срок до десяти лет и штрафа в размере до трех миллионов рублей наступает в случае причинения тяжких последствий или совершения преступления организованной группой.

Стоит обратить внимание, что в статье не говорится о конкретике использования ПДн, поэтому специалисту ИБ важно проанализировать на потенциальные риски существующую практику – например, сценарии «бытового» использования ПДн при проведении поиска по открытым источникам (OSINT), проверке контрагентов и сотрудников.

Нюансы УК РФ в сфере ПДн
Источник: презентация InfoWatch

«Статья 272.1 явно меняет практику, которую сотрудники ИБ давно используют по статьям 137 и 138 УК. Возможно, с ее появлением изменится практика использования систем объективного контроля за действиями сотрудников или проверки сотрудника при приеме на работу. При этом стоит готовиться к тому, что в любом случае утечки будут, начнут открываться дела по этой статье – скорее всего, в отношении сотрудников, которые осуществляют торговлю персональными данными либо используют их в незаконных целях. Но тогда может возникнуть вопрос – откуда они получили эти данные? Если преступление будет выявлено, в отношении подозреваемого откроются следственные мероприятия, и компании нужно будет быть готовой к тому, что, возможно, он ее подставит. Стоит перепроверить, где у вашей компании или у ваших клиентов проходят разграничения между правомерными действиями сотрудника в порядке осуществления трудовых обязанностей и его недобросовестным, а вернее, преступным поведением», – утверждает Илья Башкиров.

Компаниям необходимо готовиться к проведению внутренних расследований, к потенциальному открытию следственных мероприятий в отношении отдельных сотрудников. Стоит проверить, защищена ли компания разграничением ответственности, какой действительный доступ есть у сотрудников к ПДн, прописаны ли у сотрудника конкретные полномочия по доступу к ПДн. В данном случае можно использовать, в первую очередь, кадровые документы: трудовой договор, общее положение об обработке персональных данных, должностную инструкцию.

Также обязательно нужен локальный нормативный акт, который определяет компетенции сотрудников ИБ или DPO по использованию персональных данных.

«Воля законодателя здесь достаточно очевидна: персональные данные должен использовать тот, кто их законно собрал. Мы можем определить объем собираемых данных и правомерность их сбора – и использовать правомерно собранные данные внутри периметра компании», – резюмирует Илья Башкиров.

ФЗ №420: основные нововведения

Закон, вносящий изменения в КоАП, предполагает увеличение всех размеров ответственности за нарушения в сфере ПДн, вплоть до оборотного штрафа (1-3% всех доходов компании), девять новых составов правонарушения, увеличение ответственности за неуведомление РКН о начале обработки данных. Он свидетельствует об утверждении нового подхода законодателя к нарушениям в данной сфере.

«По тому, как меняется регулирование, мы можем предположить, что сейчас в первую очередь у законодателя есть два стремления: создать объективный и адекватный реестр субъектов обработки персональных данных (операторов) и мотивировать операторов обеспечить должный уровень информационной безопасности в отношении персональных данных. Задача – не наказать всех, забрав у них деньги, а именно мотивировать. Если мы делаем недобросовестное поведение невыгодным, то от него отказываются. Сейчас воля нашего законодателя – сделать экономию на средствах информационной безопасности невыгодной», – поясняет Илья Башкиров.

Повышение штрафов в сфере ПДн
Источник: презентация InfoWatch

По уже существовавшим нарушениям происходит увеличение размера штрафов согласно ст. 13.11 КоАП. Так, за нарушение цели и объема обработки ПДн для юридических лиц максимальная сумма штрафа повышается со 100 до 300 тыс руб. (за повторное – до 500 тыс руб.).

По нововведениям: за неуведомление РКН о намерении обрабатывать ПДн для юридических лиц вводится штраф от 100 до 300 тыс руб. По закону данное уведомление должно быть подано за десять дней до фактического начала обработки ПДн по форме, закрепленной на сайте РКН. Здесь важно отметить, что оператором ПДн, согласно ФЗ о персональных данных, является индивидуальное юридическое лицо. Таким образом, в группе компаний, которые организованы как корпоративная структура, оператором по факту является каждая составная часть этой структуры. То есть направить уведомление, исходя из буквы закона, должно каждое отдельное юридическое лицо, подходящее под признаки оператора ПДн.

Наибольшие штрафы грозят компаниям за неуведомление или несвоевременное уведомление РКН об утечке или случайной передаче ПДн: от 1 до 3 млн руб. При этом важно учесть, что таких уведомлений должно быть два. Первое направляется в течение 24 часов и должно содержать достаточно большой перечень сведений: в частности, информацию об организации, предполагаемый размер ущерба, предполагаемый объем утечки, категорию ПДн. Это значит, что за ограниченный период времени организация должна провести большое количество внутренних мероприятий. Второе уведомление направляется в РКН в течение трех дней и должно содержать результаты внутреннего расследования.

По всем перечисленным нарушениям также вводятся штрафы для физических лиц и должностных лиц – они значительно меньше, чем для юридических лиц.

Наказания за утечку ПДн и основания для уменьшения оборотных штрафов

Помимо фиксированных штрафов за неуведомление РКН, вводятся фиксированные штрафы компаниям за допущенную утечку ПДн, а также оборотные штрафы за повторное допущение утечки.

Размер штрафов пропорционален масштабу инцидента. Для определения масштаба существуют две количественные метрики: субъекты (один субъект – одно физическое лицо, чьи ПДн утекли) и идентификаторы (один идентификатор – одна запись в базе, по которой можно провести адресацию к субъекту). Сетка штрафов приведена в таблице.

Актуальные штрафы в сфере ПДн
Источник: презентация InfoWatch

Оборотные штрафы вычисляются как 1-3% от всего дохода компании, но не менее 20 млн руб и не более 500 млн руб. (в случае повторной утечки ПДн специальной категории или биометрических данных – от 25 млн до 500 млн руб). Однако законодатель предусмотрел возможность снижения размера штрафа до 0,1% от объема дохода.

Для этого компании необходимо соответствовать трем условиям. Во-первых, компания на протяжении трех лет до момента утечки должна направлять не менее 0,1% совокупного дохода на услуги и решения организаций, имеющих лицензию на разработку средств шифрования и средств защиты конфиденциальной информации.

«Приобретать услуги и продукты следует только у лицензированных поставщиков, чтобы можно было включить их в указанную расходную часть. Сопутствующие услуги по внедрению, интеграции систем так же будут в нее входить – с условием что они связаны непосредственно с системой или продуктом. Возможно, обучение сотрудников информационной безопасности тоже впоследствии будет включено в этот расход. После всех изменений, публичных выступлений со стороны Госдумы и РКН – мы видим, что меняется комплаенс в этой сфере с сугубо юридического на организационный и технический», – комментирует Илья Башкиров.

Во-вторых, в течение года до утечки компания должна соблюдать требования по обработке ПДн в информационных системах: то есть Постановление Правительства №1119, требования ФСТЭК, требования к сертификатам, к криптошифрованию и другие. Чтобы собрать доказательства этому, компании следует предусмотреть ряд организационных мер: сформировать реестр сертифицированных информационных систем для защиты персональных данных, провести аудит использования и перемещения персональных данных внутри компании, составить схему возможных угроз, подготовить соответствующие локальные нормативные акты (инструкции, трудовые договоры, положения о доступе и т. д).

В-третьих, компания не должна привлекаться к ответственности за использование несертифицированных технических средств или нарушение требований к защите информации.

Подготовка компании к новым требованиям

В InfoWatch сформировали «дорожную карту» подготовки к новым нюансам регулирования сферы ПДн. «Наша конечная цель – обеспечить действительно хороший уровень комплаенса, который при этом не перегружал бы компанию. Нужно построить систему, в которой будет обеспечена, с одной стороны, безопасность персональных данных, а с другой стороны, бесперебойное функционирование организации», – говорит Илья Башкиров. «Дорожная карта» состоит из шести шагов.

Необходимые действия для подготовки к изменениям в сфере ПДн
Источник: презентация InfoWatch

Первый шаг – аудит перемещения ПДн. Это можно сделать при помощи опроса всех подразделений и составления карты передачи и обработки персональных данных внутри организации.

Второй шаг – аудит средств защиты информации и ИСПДн. В него входит оценка того, какие СЗИ есть в организации, как к ним организован доступ, как устроен информационный периметр защищенности. Первые два шага являются базой для формирования объективной рабочей документации. 

Третий шаг – подготовка базовых локальных нормативных актов и политик, а также внешних (например, политики оператора при обработке персональных данных, форм согласия потребителя на обработку) документов.

Четвертый шаг – утверждение регламентов проведения мероприятий информационной безопасности и реагирования на инциденты. Среди них – методика оценки параметров утечки, положение о реагировании на инциденты ИБ, положения и инструкции, разграничивающие зоны ответственности компании и сотрудника. Всё это позволит компании в случае утечки быстро отреагировать и собрать сведения, необходимые для уведомления РКН.

Пятый шаг – по необходимости – направление уведомлений в Роскомнадзор.

Шестой шаг – организация текущего контроля и отчетности. Это важно, чтобы показать контролирующим органам добросовестность компании на протяжении длительного периода и в случае повторной утечки снизить размер оборотного штрафа.

Помимо перечисленных шести шагов «дорожной карты», к базовым действиям в рамках подготовки к новым требованиям относятся создание политики (и положения) по обработке ПДн, анализ структуры компании и направление уведомлений о намерении обрабатывать данные, создание положения о реагировании на инциденты информационной безопасности.

Решения InfoWatch для защиты ПДн

В InfoWatch отмечают, что компания адаптировала свои решения к новым требованиям по защите персональных данных и работе с утечками.

Решения InfoWatch для защиты персональных данных
Источник: презентация InfoWatch

«Не стоит забывать, в течение 72 часов после утечки компании необходимо провести внутреннее расследование. По тому, насколько оно окажется подробным и адекватным, Роскомнадзор будет принимать решение о том, ответственность ли это организации или конкретного сотрудника. Также системная аналитика позволяет через нашу систему прогнозировать и строить карты перемещения информации, проверять, насколько реалистично возникновение какой-либо утечки», – добавляет Илья Башкиров.

Запатентованная технология InfoWatch для защиты ПДн – «Способ автоматического анализа выгрузок из БД» – позволяет проводить анализ неструктурированной информации и эффективно контролировать исходящие потоки данных, тем самым, в том числе, защищая ПДн от несанкционированной передачи. В 2024 году данное решение вошло в топ-10 лучших изобретений в области ИТ и кибербезопасности по версии Роспатента.

Также в InfoWatch разработаны три авторские методики для аудита документов и процессов на предмет соответствия требованиям законодательства. Методика аудита персональных данных позволяет создать объективную картину использования ПДн в компании, выявить уязвимости систем и несовершенство организационно-правовых нюансов. Методика сбора, обработки и анализа сведений об утечке решает задачу проведения расследования инцидента в сжатые сроки. Методика сбора и обработки информации об ущербе позволяет определить реальный объем утечки и выявить дополнительные критические факторы ИБ.

«Эти методики мы интегрировали в наш подход к аудиту, куда мы включаем три пункта: аудит технических средств, движения и использования персональных данных, базовых документов и локальных нормативных актов», – подводит итог Илья Башкиров.