мар
24
2025
redaktor
Практика взаимодействия Роскомнадзора с организациями, ставшими «жертвами» утечек персональных данных, в последнее время, до вступления в силу с 30 мая 2025 года новых составов правонарушений по ч.12-14 ст.13.11 КоАП РФ, начала формироваться.
Интересная история произошла с одной из компаний, обратившейся к нам за поддержкой в марте 2025 года.
В середине 2024 года у этой организации была подтверждена утечка персональных данных. Оператор ПДн, используя для своих баз данных облачные технологии, был убежден что такая платформа надежно защищена, что подтверждал и действующий у них Аттестат соответствия по защите информационной системы в ЦОДе. На практике это оказалось совсем не так.
Получив информацию о факте распространения персональных данных в Интернете, компания в течение суток проинформировала Роскомнадзор о факте утечки, при этом раскрыв все меры по ст.18.1 и ст.19, включая аттестация части своих компьютеров. Затем мы помогли им оперативно провести внутреннее разбирательство, и отправить регулятору второе уведомление в соответствии с конкретными требованиями приказа Роскомнадзора от 14.11.2022 г. №187.
Ввиду того, что при утечке персональных данных не было чувствительных для субъектов идентификаторов, оператор ПДн не стал информировать своих клиентов о факте распространения информации (это тогда, а с 2025 года этого допускать нельзя).
Не прошло, как говорится, и полгода, как в компанию пришел запрос от Управления Роскомнадзора по региону по данному компьютерному инциденту. Интрига этого документа состояла в том, что регулятор, перечисляя в циркуляре обязанности компании, как оператора персональных данных принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей по ФЗ-152 «О персональных данных», потребовал предоставить свои документы и локальные акты, подтверждающие выполнение не шести, как указано в ч.1 ст.18.1 закона обязательных мер, а лишь пяти из них:
- Приказ о назначении о назначении ответственного за организацию обработки персональных данных.
- Политику по обработке и защите персональных данных с приложением документа о Целях обработки персональных данных.
- План внутреннего контроля и последнее заключение об Аудите соответствия обработки персональных данных законодательству, выданное организацией-лицензиатом ФСТЭК России.
- Акт оценки вреда, который может быть причинен субъектам персональных данных.
- Приказы генерального директора компании об ознакомлении всех работников с основным законодательством в области персональных данных, внутренними локальными актами и приложением списка допущенных к обработке персональных данных в соответствии с трудовыми функциями работников, Листов ознакомления, а также подтверждение того факта, что все работники компании прошли обучение по персональным данным.
Здесь нужно обратить внимание на формулировки запроса: «обучение», а не «ознакомление», хотя законом предусмотрены именно варианты информирования. На практике, как известно, это не одно и тоже.
Чтобы подытожить историю, мы должны сделать основной вывод: Роскомнадзор, проведя анализ действий нашего клиента, сделал акцент на «действии или бездействии» оператора ПДн в контексте индикаторов риска нарушения требований ФЗ-152 «О персональных данных».
Как вы знаете, в области персональных данных приказами Минцифры 15.11.2021 №1187 и от 17.08.2023г. №720 утверждены четыре индикатора риска нарушения обязательных требований, которые приводят к внеплановым проверкам Роскомнадзора. Основной индикатор, который имеет нормативно-правовой статус, это наличие трех и более фактов несоответствия информации в Уведомлении об обработке персональных данных и Политике на сайте, именно по Целям обработки персональных данных, предусмотренной п.2 ч.1 ст.18.1 ФЗ-152 «О персональных данных». Поэтому мы в очередной раз предупреждаем своих слушателей и клиентов о значимости этого «формального» для многих операторов персональных данных документа - «Цели обработки персональных данных».
А наш клиент - главный «герой» этой истории - благополучно прошел негласную проверку Роскомнадзора после утечки персональных данных.