Скопировать ссылку
Что изменилось
Самые значимые для бизнеса изменения коснулись уведомлений об обработке персональных данных и биометрии, трансграничной передачи данных, а также правил уведомления об утечках и взаимодействия с ГосСОПКА.
Возросшее за последние полгода число утечек персональных данных привело к необходимости ужесточить ряд требований для повышения уровня информационной безопасности. Если раньше у компаний была возможность игнорировать некоторые требования 152-ФЗ, сегодня им придется обратить пристальное внимание на уровень информационной безопасности при работе с персональными данными, потому что достоверно известно о скором введение оборотных штрафов.
Трансграничная передача данных
Самые серьезные изменения произошли в области трансграничной передачи данных. В соответствии с современной редакцией закона, организациям необходимо передавать в Роскомнадзор уведомления о трансграничной обработке данных, а в некоторых случаях запрашивать разрешение на нее. Шаблоны соответствующих документов уже стали доступны на портале РКН.
Компании, у которых ранее уже был налажен процесс трансграничной передачи персональных данных, теперь обязаны уведомлять об этом Роскомнадзор. При этом, до начала осуществления передачи данных за границу, важно убедиться, что иностранным государством, на территорию которого осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных. Полный перечень стран с адекватной защитой опубликован на сайте Роскомнадзора.
Нововведения в законодательстве, по сути, означают, что компаниям придется обосновывать регулятору необходимость передачи персональных данных и, возможно, раскрыть государству информацию о бизнесе с заграничными контрагентами.
Помимо этого, в некоторые страны фактически трансграничная передача данных может быть запрещена, что в свою очередь способно принести серьезные финансовые убытки бизнесу. Также, в связи с изменениями № 152-ФЗ, значительно усложнится и сам процесс трансграничной обработки данных.
Реестр обработки персональных данных
Еще одним нововведением стала необходимость для всех организаций в обязательном порядке становиться на учет в Реестр операторов обработки персональных данных. И, если у компании уже был налажен процесс работы с данными, теперь об этом обязательно уведомлять Роскомнадзор.
Многие организации настороженно относятся к данному изменению, считая, что это может привлечь излишнее внимание Роскомнадзора к их бизнесу. По имеющейся информации, на сегодняшний день в реестр включено не более 15% всех организаций, поэтому в дальнейшем есть вероятность стимулирования процесса со стороны регулятора путем введения штрафов. Однако на данный момент нет свидетельств о штрафах компаниям, которые пока не подали данные в реестр. Но мы все же рекомендуем не затягивать этот процесс.
Полагаем, что как минимум до конца этого года штрафы введены не будут, поскольку официально действует мораторий на внеплановые и плановые проверки регуляторов. А значит, у компаний, которые еще не встали в реестр, есть время до конца года пройти внутренний аудит, подготовить организационные и технические меры и подать данные в реестр, не боясь получить штраф.
Уведомление об инциденте
Существенные изменения коснулись и правил уведомления об инциденте. Теперь, в случае утечки персональных данных, организация обязана в течение 24 часов сообщить об этом инциденте в Роскомнадзор и в течение 72 часов подать уведомление о результатах внутреннего реагирования.
Если же в компании произошла утечка, которая была обнародована СМИ и обнаружена Роскомнадзором до уведомления от компании, это может быть воспринято как факт сокрытия инцидента.
Для информирования об инцидентах, компании, осуществляющие обработку и передачу персональных данных, теперь обязаны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Хоть пока точный порядок не известен, предполагается, что для ряда организаций система ГосСОПКА будет доступна либо в упрощенном виде, например, через сервис Госуслуги, либо останется обязательной только для компаний, обрабатывающих определенные категории персональных данных, таких как биометрия или персональные данные более 10 тысяч человек.
У организаций фактически появляется еще одна обязанность — тщательно отслеживать утечки. Ведь если они своевременно не обнаружат утечку или ее обнаружат не они, это окажется нарушением правил уведомления об инциденте. Поэтому в ближайшее время можно ожидать рост спроса на сервисы по контролю утечки персональных данных со стороны бизнеса. Крупные интеграторы уже давно используют эти сервисы и предлагают их своим клиентам.
Биометрия
Значительные изменения коснулись и обработки биометрических данных. Хотя начались они еще в конце прошлого года с изменений в законодательной базе.
Сегодня, с введением новых законов и правок, содержание биометрии становится непомерно дорогим из-за кратно возросших технических требований к ее защите. Поэтому организациям, не готовым инвестировать крупные суммы в построение дорогостоящей системы безопасности, мы рекомендуем максимально сократить обработку биометрии, если это возможно. Поскольку биометрия используется в системах СКУД, альтернативным вариантом станет использование СКУД без биометрии или выстраивание другой системы пропусков, что будет дешевле и эффективнее для бизнеса.
Оборотные штрафы
На сегодняшний день уже известны формулировки, которые Минцифры будут утверждать в КоАП РФ. Ранее предлагалось ввести штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В новой редакции документа такой порядок штрафов предусмотрен только для компаний, действия которых привели к утечке баз данных, содержащих более 100 тысяч записей.
Пока неизвестно, когда новые штрафы будут введены, но, судя по тому, как активно продолжаются утечки персональных данных и насколько возросло их число в последнее время, тенденция к усилению регулирующих мер со стороны государства сохранится, поэтому и введение оборотных штрафов не заставит себя ждать.
Важно отметить, что по данным регулятора, в случае инцидента, для предприятий, соблюдающих организационные и технические меры по защите персональных данных, а также выполняющих требования законодательства, это станет смягчающим обстоятельством, что в ряде случаев способно привести к существенному сокращению суммы штрафа. Для бизнеса это может стать хорошим стимулом к осознанию необходимости выполнения требования № 152-ФЗ.
Выводы
В целом, можно сказать, что для организаций, которые и раньше соблюдали № 152-ФЗ, затраты от нововведений будут незначительными. При этом важно понимать, что закон «О персональных данных» действует с 2006 года и, если компания только сейчас начнет исполнять все требования законодательства, затраты будут большими. К тому же, чем позже организация начнет выполнять требования № 152-ФЗ, тем больше будут затраты. Поэтому бизнесу важно осознать, что регулятором даны четкие сигналы и нет иного пути, как начать выполнять требования законодательства в этом году, пока еще действует мораторий на регулярные проверки. И именно это время является идеальным, чтобы без наложения штрафов привести свои бизнес-процессы в соответствие с нормами закона.
