Утечки данных стали притчей во языцех – прошедший год ознаменовался десятками громких сливов. В ответ не заставила себя ждать инициатива драматичного ужесточения ответственности за утечки. Еще несостоявшиеся оборотные штрафы уже стали «страшилкой» для бизнеса. Разберемся, насколько это страшно и есть ли шанс выйти сухим из воды, если данные «потекли».
Все-таки утечка…узнает ли он?
Да. Роскомнадзор сможет узнать об этом не только от вас по процедуре уведомления об инцидентах, но и от субъекта по жалобе или даже от конкурентов. Или, что происходит гораздо чаще, из СМИ и прочих открытых источников. Роскомнадзор системно мониторит Telegram-каналы, где публикуется информация о слитых дата-сетах.
После получения информации о наличии признаков утечки, Роскомнадзор вправе инициировать внеплановую проверку компании. Вы спросите, но как же мораторий на проверки? Роскомнадзор регулярно проверяет компании, несмотря на мораторий на проведение внеплановых проверок. И у него для этого сразу несколько оснований:
Недавнее расширение оснований для внеплановых проверок лишь легитимизирует сложившийся status quo и не меняет общую картину для бизнеса. Более того, общее число проверок вряд ли сократится — из редкого случая они стали нормой, несмотря на продление моратория. К тому же теперь к ним сложнее подготовиться.
Важно понимать, утечка — почти гарантированный путь к внеплановой проверке.
Как происходит проверка?
О внеплановой проверке компания узнает за сутки до ее начала, когда получает формальное уведомление Роскомнадзора.
Уведомление содержит запрос документов на более чем 30 позиций. При этом формально Роскомнадзор не ограничен в определении периметра проверки и может провести ее в отношении всех процессов компании. Но, как правило, инспектор запрашивает информацию по процессам в контуре инцидента. Этот периметр инспектор определяет «экспертно» на основании имеющейся у него информации. Если утечка произошла в базе с соискателями, инспектор скорее всего не будет запрашивать информацию по клиентским данным. Но будьте готовы предоставить информацию по системам и процессам, связанными с работниками. Хотя, казалось бы, зачем?
В базовом запросе Роскомнадзора обычно фигурируют следующие документы:
Кроме того, Роскомнадзор запрашивает пояснения по причинам инцидента, его периметру по категориям данных и субъектов, а также принятым оператором мерам по митигации последствий утечки.
Внеплановая проверка может быть как документарной, так и выездной. При выездной проверке инспектор дополнительно проведет интервью с сотрудниками, осмотрит информационные системы и многое иное.
Как показывает практика, без выстроенной системы privacy-комплаенса шанс подготовиться и успешно пройти эту проверку ничтожно мал. При поспешной и неосторожной подготовке документов и пояснений для Роскомнадзора есть риск получить не только штраф за утечку, но попутно будут выявлены и иные нарушения. Например, ошибки могут всплыть в не содержащем все необходимые условия поручении на обработку, некорректном согласии на обработку, отсутствии контролей за сроками хранения данных в ИТ-системах и пр.
Что будет за утечку?
Оборотные штрафы — о них отдельно
В середине марта после почти полугода обсуждений стало известно, что законопроект об оборотных штрафах планируют ввести в Госдуму уже в следующем месяце.
Согласно последним комментариям за первую утечку компания получит фиксированный штраф, а за последующие — оборотный штраф от 5 млн до 500 млн рублей. Размер оборотного штрафа зависит от выручки компании и наличия смягчающих или отягчающих обстоятельств.
Среди смягчающих обстоятельств скорее всего будет своевременное уведомление Роскомнадзора об утечке персональных данных, наличие аттестации инфраструктуры на соответствие 152-ФЗ или добровольная компенсация морального вреда субъектам. Среди отягчающих — сокрытие инцидента, утечка биометрии или специальных категорий персональных данных и неоднократность нарушения.
Вместе с этим законопроектом планируется рассмотреть и введение уголовной ответственности за кражу и сливы персональных данных в форме штрафа до 2 млн рублей и 10 лет лишения свободы.
Без вины виноватый
Почти все операторы, которые оказываются заподозрены в допущении утечки, привлекаются к административной ответственности, даже без их вины в ее наступлении. Это de jure не отвечает принципам административного законодательства, а также абсурдно само по себе, поскольку невозможно полностью исключить риск утечки вне зависимости от принятых мер. Это фактически лишает операторов стимула вкладываться в построение своей системы privacy-комплаенса и информационной безопасности.
Утечка может произойти у любой компании в силу простой человеческой невнимательности отдельного работника или из-за злонамеренных действий внешнего нарушителя, несмотря на все принятые меры информационной безопасности и privacy-контроли.
Так что же делать?
Есть рецепт, как избежать штрафа. У нас сработало — поможет и вам. Все утечки и проверки индивидуальны, но стоит пробовать. Представим следующий кейс.
Компания привлекла обработчика, действия которого и привели к утечке данных в его собственном контуре (например, в бэкэнде администрируемого сайта). В таком случае есть реальный шанс доказать, что утечка произошла не по вине компании-оператора. Для этого необходимо продемонстрировать инспектору выполнение следующих мер (NB: мы не рассматриваем далее административно-процессуальные аспекты взаимодействия с инспектором при осуществлении проверки):
Важно понимать, что судьба оператора по большей части зависит от позиции инспектора. Формально штраф назначается судом, но суды по таким делам, как правило, придерживаются позиции Роскомнадзора. Поэтому главная задача оператора при утечке — убедить инспектора в том, что утечка произошла независимо от вины компании, а бизнес принял все необходимые меры для предупреждения и минимизации последствий инцидента.
Построить работающую, а не «бумажную» систему комплаенса — верное решение, чтобы справиться с новыми вызовами. Для этого необходимо внедрить процедуры мониторинга инцидентов, разработать четкий план действий в инструкциях для сотрудников по эскалации инцидента и осуществлению внутреннего расследования, предусмотреть контроли за их исполнением. Мы это делали и знаем как, поэтому BetterCallComply.
После вступления в силу закона об оборотных штрафах defense-стратегия может измениться.
Мы будем следить за ходом событий и обновлять наши рекомендации в рамках серии вебинаров «privacy-cезоны». Следите за анонсами!
Артем Дмитриев
Управляющий партнер, руководитель IP, Tech & Privacy
artem.dmitriev@comply.ru
+7 (961) 806-2776
t.me/artydmitriev
Артем Сафьянников, юрист, IP, Tech & Privacy
Сведения в данном материале подготовлены исключительно в информационных целях и не являются юридической консультацией или заключением.
Все-таки утечка…узнает ли он?
Да. Роскомнадзор сможет узнать об этом не только от вас по процедуре уведомления об инцидентах, но и от субъекта по жалобе или даже от конкурентов. Или, что происходит гораздо чаще, из СМИ и прочих открытых источников. Роскомнадзор системно мониторит Telegram-каналы, где публикуется информация о слитых дата-сетах.
После получения информации о наличии признаков утечки, Роскомнадзор вправе инициировать внеплановую проверку компании. Вы спросите, но как же мораторий на проверки? Роскомнадзор регулярно проверяет компании, несмотря на мораторий на проведение внеплановых проверок. И у него для этого сразу несколько оснований:
- поручение председателя Правительства,
- по требованию или при согласовании с органами прокуратуры при угрозе причинения вреда охраняемым законом ценностям,
- с февраля этого года – при согласовании с органами прокуратуры и при выявления факта утечки.
Недавнее расширение оснований для внеплановых проверок лишь легитимизирует сложившийся status quo и не меняет общую картину для бизнеса. Более того, общее число проверок вряд ли сократится — из редкого случая они стали нормой, несмотря на продление моратория. К тому же теперь к ним сложнее подготовиться.
Важно понимать, утечка — почти гарантированный путь к внеплановой проверке.
Как происходит проверка?
О внеплановой проверке компания узнает за сутки до ее начала, когда получает формальное уведомление Роскомнадзора.
Уведомление содержит запрос документов на более чем 30 позиций. При этом формально Роскомнадзор не ограничен в определении периметра проверки и может провести ее в отношении всех процессов компании. Но, как правило, инспектор запрашивает информацию по процессам в контуре инцидента. Этот периметр инспектор определяет «экспертно» на основании имеющейся у него информации. Если утечка произошла в базе с соискателями, инспектор скорее всего не будет запрашивать информацию по клиентским данным. Но будьте готовы предоставить информацию по системам и процессам, связанными с работниками. Хотя, казалось бы, зачем?
В базовом запросе Роскомнадзора обычно фигурируют следующие документы:
- Положение об обработке персональных данных и прочие базовые локальные акты оператора.
- Реестр процессов обработки с информацией по скомпрометированным категориям данных, схема движения информационных потоков таких данных в информационных системах.
- Документы, подтверждающие принятие организационных, технических и правовых мер безопасности данных, а также осуществление внутреннего контроля.
- Перечень информационных систем, в которых осуществляется обработка скомпрометированных данных, и их описание, включая адрес размещения баз данных, инструкции и руководства пользователя.
- Документы, подтверждающие права на серверное оборудование.
- Информация о третьих лицах, привлекаемых к обработке, и договоры с ними.
- Сведения о трансграничной передаче, включая информацию о правовых основаниях, целях передачи, перечне данных и странах.
Кроме того, Роскомнадзор запрашивает пояснения по причинам инцидента, его периметру по категориям данных и субъектов, а также принятым оператором мерам по митигации последствий утечки.
Внеплановая проверка может быть как документарной, так и выездной. При выездной проверке инспектор дополнительно проведет интервью с сотрудниками, осмотрит информационные системы и многое иное.
Как показывает практика, без выстроенной системы privacy-комплаенса шанс подготовиться и успешно пройти эту проверку ничтожно мал. При поспешной и неосторожной подготовке документов и пояснений для Роскомнадзора есть риск получить не только штраф за утечку, но попутно будут выявлены и иные нарушения. Например, ошибки могут всплыть в не содержащем все необходимые условия поручении на обработку, некорректном согласии на обработку, отсутствии контролей за сроками хранения данных в ИТ-системах и пр.
Что будет за утечку?
- Административный штраф до 100 000 руб. Многим компаниям назначают и 60 000 руб. — Туту, Skyeng, Яндекс Еда, Гемотест получили именно такие штрафы.
- Штраф до 5 000 руб. за неуведомление Роскомнадзора или ФСБ о произошедшем инциденте.
- Иски субъектов персональных данных о возмещении убытков / компенсации морального вреда, в том числе коллективные. Хотя на текущий момент практика коллективных исков если и может быть признана успешной, то только для бизнеса – например, в деле Яндекс Еды суд вернул иск.
- Предписания об устранении нарушений в бизнес-процессах, заключении договоров поручения, уничтожении данных и т.д.
- Уголовная ответственность лиц, ответственных за утечку, по ст. 272 и 137 УК РФ.
- Вымогательство «черными» хакерами за оставление утечки в секрете, деятельность которых непременно активизируются после введения оборотных штрафов.
Оборотные штрафы — о них отдельно
В середине марта после почти полугода обсуждений стало известно, что законопроект об оборотных штрафах планируют ввести в Госдуму уже в следующем месяце.
Согласно последним комментариям за первую утечку компания получит фиксированный штраф, а за последующие — оборотный штраф от 5 млн до 500 млн рублей. Размер оборотного штрафа зависит от выручки компании и наличия смягчающих или отягчающих обстоятельств.
Среди смягчающих обстоятельств скорее всего будет своевременное уведомление Роскомнадзора об утечке персональных данных, наличие аттестации инфраструктуры на соответствие 152-ФЗ или добровольная компенсация морального вреда субъектам. Среди отягчающих — сокрытие инцидента, утечка биометрии или специальных категорий персональных данных и неоднократность нарушения.
Вместе с этим законопроектом планируется рассмотреть и введение уголовной ответственности за кражу и сливы персональных данных в форме штрафа до 2 млн рублей и 10 лет лишения свободы.
Без вины виноватый
Почти все операторы, которые оказываются заподозрены в допущении утечки, привлекаются к административной ответственности, даже без их вины в ее наступлении. Это de jure не отвечает принципам административного законодательства, а также абсурдно само по себе, поскольку невозможно полностью исключить риск утечки вне зависимости от принятых мер. Это фактически лишает операторов стимула вкладываться в построение своей системы privacy-комплаенса и информационной безопасности.
Утечка может произойти у любой компании в силу простой человеческой невнимательности отдельного работника или из-за злонамеренных действий внешнего нарушителя, несмотря на все принятые меры информационной безопасности и privacy-контроли.
Так что же делать?
Есть рецепт, как избежать штрафа. У нас сработало — поможет и вам. Все утечки и проверки индивидуальны, но стоит пробовать. Представим следующий кейс.
Компания привлекла обработчика, действия которого и привели к утечке данных в его собственном контуре (например, в бэкэнде администрируемого сайта). В таком случае есть реальный шанс доказать, что утечка произошла не по вине компании-оператора. Для этого необходимо продемонстрировать инспектору выполнение следующих мер (NB: мы не рассматриваем далее административно-процессуальные аспекты взаимодействия с инспектором при осуществлении проверки):
- Соответствие гигиеническому минимуму: наличие внутренних контролей и всех законных оснований обработки данных, проверок контрагентов на соответствие законодательству о персональных данных, действительных договоров поручения обработки данных с правами аудита и мерами ответственности, анкеты для контрагентов, реестра процессов обработки и т.д.
- Реагирование на инцидент по результатам внутреннего расследования, включая, например, расторжение договора с подрядчиком, ограничение административно-технических доступов, внеплановая смена паролей, принятие иных технических мер, проведение внутреннего расследования, оценка вреда, причиненного субъектам, и подготовка уведомлений об инциденте в Роскомнадзор и ГосСОПку.
- Митигация последствий утечки, включая принятие мер по ограничению доступа к публичным дампам, мониторингу их публикаций в общедоступных источниках, подача заявления о преступлении в правоохранительные органы, усиление контроля за запросами субъектов, чьи данные были скомпрометированы и т.д.;
- Минимизация рисков повторения утечки в будущем, в том числе внедрение (пересмотр) принимаемых мер безопасности данных, пересмотр существующих договоров с третьими лицами, выданных доступов, внутренний аудит процессов обработки данных, а также повторное ознакомление лиц, допущенных к обработке данных, с внутренними регламентами и проведение privacy-awareness тренингов.
- Компания может избежать ответственности при грамотном и пунктуальном взаимодействии с Роскомнадзором в рамках проверки и принятии «осязаемых» мер реагирования на такой инцидент.
Важно понимать, что судьба оператора по большей части зависит от позиции инспектора. Формально штраф назначается судом, но суды по таким делам, как правило, придерживаются позиции Роскомнадзора. Поэтому главная задача оператора при утечке — убедить инспектора в том, что утечка произошла независимо от вины компании, а бизнес принял все необходимые меры для предупреждения и минимизации последствий инцидента.
Построить работающую, а не «бумажную» систему комплаенса — верное решение, чтобы справиться с новыми вызовами. Для этого необходимо внедрить процедуры мониторинга инцидентов, разработать четкий план действий в инструкциях для сотрудников по эскалации инцидента и осуществлению внутреннего расследования, предусмотреть контроли за их исполнением. Мы это делали и знаем как, поэтому BetterCallComply.
После вступления в силу закона об оборотных штрафах defense-стратегия может измениться.
Мы будем следить за ходом событий и обновлять наши рекомендации в рамках серии вебинаров «privacy-cезоны». Следите за анонсами!
Артем Дмитриев
Управляющий партнер, руководитель IP, Tech & Privacy
artem.dmitriev@comply.ru
+7 (961) 806-2776
t.me/artydmitriev
Артем Сафьянников, юрист, IP, Tech & Privacy
Сведения в данном материале подготовлены исключительно в информационных целях и не являются юридической консультацией или заключением.