Утечки, пожалуй, наиболее обсуждаемая тема в сфере privacy сегодня. Не удивительно, учитывая объем утекших данных и, конечно же, теперь уже оборотные штрафы. Поэтому один из самых актуальных для DPO (и бизнеса в целом) вопросов – минимизация последствий от произошедшей утечки. Да, damage control.
Конечно, утечки не надо допускать, но практика показывает, что «подтекает» даже у крупных компаний с существенными затратами на ИБ. Поэтому разумно заранее позаботиться об аргументах, которые убедят суд в добросовестности компании, если утечка таки случилась. Зачем? Чтобы минимизировать драматизм последствий и получить штраф кратно меньше верхней планки.
Итак, все наши мысли на этот счет в Pulse не поместятся, поэтому нехотя ограничим себя следующими топиками:
Почему величие? Потому что ужасающий, а к тому же уже принят в третьем чтении. К слову, принять его обещали первые лица государства еще два года назад. Но чиновники и GR бизнеса не уступали, их схватка продлилась долго. Кто победил? Вы и сами знаете. Но если бы не GR бизнеса, то было бы хуже.
1.1. Что там по утечкам, из того, что и так все знают?
Состав нарушения – так и остался категорически широким. Все же отвечать придется за «неправомерную передачу (предоставление, распространение, доступ)». То есть передача данных на основании некорректного договора поручения – тоже «утечка»? Пока что выходит, что так. А неправомерная передача внутри организации все еще НЕ будет признаваться утечкой, как и прежде?
Ключевые цифры:
* ID – уникальное обозначение сведений о физическом лице
1.2. А что там еще?
Если утекают ПД меньше 1k субъектов или 10k ID, то «по старинке» будет применяться ч. 1(1) или ч. 2(1) ст. 13.11 КоАП.
Не важно, сколько спецката утекло. И одной записи достаточно для 10 – 15 млн штрафа.
DPO за новые составы не накажут, но по старым частям ст. 13.11 все еще могут!
Отсечка для применения штрафов и их размеров определяется по количеству или субъектов ПД, или их ID, т.е. «уникальных обозначений». Что это такое? Вот, например, скоринг и эмбединг – будут уникальными или не очень? А внутренние айдишники в системе при условии, что они имеют смысл и идентифицирующий потенциал только для оператора? Неразбериха.
И да, самое обидное, что теперь не будет работать 50% скидка за раннюю оплату штрафа по ст. 13.11. А было бы очень элегантно получить скидку в размере 250 млн, но нет.
1.3. Когда грянет гром?
Изменения вступят в силу через 6 месяцев после принятия. Уверяют, что за прошлые утечки кары не будет. Но есть нюанс…и даже два.
Как оправдаться, если злоумышленник публикует все новые дампы из прежней утечки? Очевидно, шансы оправдаться есть, только если вы ранее уведомляли РКН об утечке, и объем данных, заявленных в уведомлении, соотносится с вновь опубликованными дампами. В любом случае, надо понимать, что именно вам предстоит доказывать это РКН. Если доказательств обратного вы не предоставите, то по умолчанию каждый новый дамп – новая утечка.
И еще. Пока нет однозначной позиции, является ли длящимся нарушением неуведомление РКН об утечке. Если да, то хотя закон обратной силы и не имеет, но смогут оштрафовать на 3 млн за прежние утечки, о которых вы «забыли» рассказать РКН. На данный момент есть как практика признания утечки длящимся нарушением, так и практика непризнания таковым неуведомления о намерении осуществлять обработку ПД.
1.4. Мягко стелет, да жестко спать!
Закон предусматривает смягчающие обстоятельства. Но [спойлер] – держите карман шире, это очень не очень так, как декларировали при доработке законопроекта. Разбираемся, далее кратко о таких заманчивых и смягчающих обстоятельствах. Если и одновременно, и ДО постановления о штрафе выполнить все указанные далее условия, то штраф будет снижен до 0,1 минимального размера штрафа, но не менее 15 и не более 50 млн.
И вот тут, друзья, внимание. Смягчающие обстоятельства предусмотрены ТОЛЬКО для штрафов по повторности, то есть части 15 и 18 ст. 13.11 КоАП. А для иных новых составов остаются «общие» смягчающие обстоятельства КоАП, как и прежде, например:
Исключительные обстоятельства, связанные с характером нарушения и его последствиями, а также финансовым положением юридического лица, помогут снизить размер штрафа ниже минимального, но не менее половины минимального размера (ч. 3.2, 3.3 ст. 4.1 КоАП),
Штраф назначается в минимальном размере, если лицом, совершившим правонарушение (1) предотвращены вредные последствия нарушения, (2) добровольно возмещен ущерб или устранен причиненный нарушением вред (ч. 3.4-1 ст. 4.1 и пп. 5, 6 ч. 1 ст. 4.2 КоАП),
Вместо штрафа предупреждение за впервые совершенное нарушение, если отсутствует вред или угроза причинения вреда жизни и здоровью людей, безопасности государства, отсутствует имущественный ущерб (ч. 1 ст. 4.1.1 и ч. 2 ст. 3.4 КоАП).
То есть для большей части утечек будет ровно так, как и сейчас складывается практика по утечкам. Поэтому далее разберем, как бизнесу ранее удавалось митигировать последствия утечки.
2. Как быть? Быть privacy-совестливым. Как им стать?
Если все же утекло, то далее у уважаемого DPO только два пути: либо сокращать размер штрафа, либо полностью его избегать. И то, и другое возможно. Разве что сегодня первый путь не настолько актуальный, ведь сейчас коридор, в рамках которого суд назначает штраф за утечку, – условные 40 т. руб., но теперь после изменений счет будет идти на миллионы.
2.1. Изменится ли стратегия по защите от штрафов после утечки?
Как обсудили выше, новые смягчающие обстоятельства установлены только для «повторных» утечек. А для иных ничего не меняется, и наоборот – существующие наработки практики будут только подтверждены. С учетом этого, категорически важно понимать, что сегодня помогает «счастливчикам» избегать штрафов за утечку. Ведь именно эта стратегия сохранится и после вступления в силу изменений.
Мы проанализировали судебную практику за предшествующий год и вот что можем сказать. На данный момент практика неоднородна, а суды более склонны признавать компанию виновной в утечке, не вдаваясь в подробности случившегося. И все же некоторым компаниям удавалось «достучаться» до небес судов.
Выводы на заметку:
Только 5 из 40 компаний удалось избежать штрафа за утечку ПД.
Хакерская атака чаще всего не воспринимается судами как обстоятельство, исключающее ответственность. Хотя обратная практика есть, но, чтобы этот аргумент работал, нужно соблюсти ряд условий – об этом в разделе 2.2 далее.
Осторожнее упоминайте меры, которые были предприняты в рамках реагирования на утечку. Например, если после утечки вы внедрили двухфакторную аутентификацию и апеллировали к этому, то суд может такой аргумент обратить против вас. Если внедрили сейчас, значит могли внедрить и раньше, следовательно, не предприняли меры по защите ПД своевременно!
Поданное в РКН уведомление об утечке чаще всего судами не признается смягчающим обстоятельством – это же и так ваша обязанность.
2.2. Какими аргументами оправдаться?
Да, можно и сегодня без штрафа за утечку, если докажешь свою privacy-совестливость. Не будем скромничать – по два таких процесса в этом и прошлом годах вели мы, и компании штрафы не получили. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». В любом случае мы верим, что предупрежден – вооружен.
Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: (1) доказательства рутинных privacy-процедур по предотвращению утечек и (2️) доказательства надлежащего реагирования на утечку для минимизации ее последствий.
План реагирования на инцидент:
Ограничение доступов / смена паролей
Мониторинг публикаций дампов
Заявление о преступлении
Усиление контроля за DSR
Расторжение договора с вендором
Коммуникация с субъектами
Рутинные процедуры:
Аудиты и change management
Проверка контрагентов
Privacy-awareness тренинги и ознакомление с ЛНА
Пересмотр поручений, доступов
Реестр запросов и DSR процедуры
Ключевая мысль – по каждому из указанных комплаенс доменов необходимо бумажными доказательствами подтвердить исполнение компанией требования на практике.
Например, проведение компанией тренингов, посвященных защите ПД. При этом тренинг не только есть, но и обновляется в темп законодательным изменениям, а его проведение фиксируется в соответствующих журналах или логах, которые готовы к демонстрации РКН.
Другой пример: вы не только заключаете соответствующее требованиям закона поручение обработки, если привлекаете обработчиков, но и проверяете каждого обработчика на обеспечение им должного уровня защиты ПД при обработке и можете предоставить в качестве доказательства такой проверки, например, заполненные контрагентом чек-листы.
Компания стала жертвой кибератаки. Один из убедительных доводов в пользу невиновности компании в утечке – уголовное дело, по которому компания является потерпевшей стороной. Но недостаточно только КУСП, надо возбужденное дело!
Ну и последний пример. Компания ссылается на то, что никакого ущерба субъектам ПД утечка не нанесла. Но это важно подкрепить доказательствами: с субъектами была коммуникация по поводу произошедшего инцидента, усилен контроль за получением запросов субъектов, все запросы зафиксированы в журнале обращений, и наконец, нет обращений, в которых субъект требовал бы возмещения убытков или компенсации.
Именно такая модель ранее закладывалась в скоринговую модель оценки компаний, которую начинали разрабатывать в Минцифре, но не взлетело. Похожая логика используется и в стандарте АБД.
Мы подготовили чек-лист мероприятий и артефактов, которые нужны для доказательства рутинных privacy-процедур по предотвращению утечек. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно, набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.
Но повторимся, что единой практики пока не сложилось. Полагаем, что теперь дела об утечках будут рассматриваться куда более скрупулезно, поэтому чек-лист выше – маст-хев.
2.3. А напоследок…
Нельзя не сказать и о договорной обвязке с контрагентами, которые получают ПД от вас или ваша компания получает ПД от них.
Как известно, ответственность за действия обработчика несет оператор ПД. Поэтому уже сегодня каждый сознательный контрагент будет стремиться получить от вас поручение. А это значит, что необходимо усилить контроль за бизнесом и тем, какие договоры он заключает. Чтобы в конце дня не оказалось, что ваша компания несет ответственность за все и вся.
А в межоператорских договорах необходимо четко прописывать «водораздел» – где проходит ответственность за инциденты с ПД вашей компании или контрагента.
Не дожидаемся жаркого лета 2025 года, внедряем мероприятия из чек-листа – работает, проверено практикой!
Скоро вернемся и расскажем вам о нововведениях в Уголовном Кодексе.