Сегодня многие услуги легко получить благодаря цифровым сервисам. В них можно заказать документы, еду, записаться на обучение, получить консультацию врача и многое другое. При этом обработка персональных данных в сервисах связана с риском их ненадлежащего использования или утечки.
Базовые термины, которые пригодятся для понимания этой статьи:
- Персональные данные (ПДн) — любые сведения о физических лицах, по которым можно установить личность человека. Например, имя и фамилия, данные паспорта с фотографией и даже номер телефона.
- Оператор персональных данных — это любая компания, которая собирает, хранит и обрабатывает персональные данные.
- Субъект персональных данных — физические лица, персональные данных которых обрабатываются оператором.
Какими могут быть нарушения закона о персональных данных?
Обработка персональных данных регламентируется 152-ФЗ. Согласно закону, под этим процессом понимаются любые действия с данными: сбор, хранение, использование, изменение, передача и т.д.
С точки зрения ответственного использования ПДн, процессы их обработки должны соответствовать двум принципам.
Первый принцип подразумевает обязательное получение согласия субъекта ПДн на выполнение определенных операций с данными. Текст такого согласия должен однозначно определять конкретные цели, условия и сроки использования данных, включая возможность их передачи третьим лицам. Обработка ПДн без согласия субъекта возможна только в исключительных случаях, предусмотренных законом. Например, при оказании экстренной медицинской помощи или в рамках оперативно-разыскных мероприятий.
Второй принцип подразумевает реализацию оператором комплекса организационных и технических мер по обеспечению безопасности ПДн. Эти меры призваны сделать процессы работы с персональными данными структурированными и безопасными. Кроме того, они должны существенно затруднить атаки на сервисы, с использованием которых такие данные обрабатываются.
Отклонения от описанных принципов или пренебрежение ими приводит к различным нарушениям 152-ФЗ. Вот некоторые из них.
- Невыполнение требований законодательства в области обеспечения безопасности ПДн. Иногда оператор либо вовсе не выполняет требования закона, либо выполняет их не в полном объеме.
- Неправомерная обработка ПДн. Например, когда использование данных выходит за рамки целей, условий и сроков, с которыми добровольно согласился субъект.
- Разглашение ПДн. Оператор или его отдельные работники передают персональные данные третьим лицам без согласия субъекта или делают ПДн доступными неограниченному кругу лиц.
Рассмотрим эти нарушения подробнее.
Невыполнение требований в области обеспечения безопасности персональных данных
Требования в области обеспечения безопасности и защиты персональных данных часто не выполняются в полной мере по двум причинам. Первая — недостаточная квалификация и общий уровень осведомленности руководства и персонала в соответствующих вопросах. Вторая — объективная нехватка необходимых ресурсов. И чем меньше организация, тем эта проблема острее.
Успех реализации организационных и технических мер по обеспечению безопасности ПДн зависит от качества взаимодействия работников разных сфер. К ним относятся юристы, специалисты по кадровому делопроизводству, специалисты по информационным технологиям и информационной безопасности. Когда такое взаимодействие отсутствует, возникают неблагоприятные ситуации. Например, документальная часть процессов обработки ПДн достаточно проработана, а техническая — страдает. Или наоборот.
Описанная ситуация обычно рассматривается в контексте части 6 статьи 13.12 Кодекса об административных правонарушениях Российской Федерации (КоАП). Она предусматривает наложение административного штрафа:
- на граждан — от 500 до 1 000 рублей,
- на должностных лиц — от 1 000 до 2 000 рублей,
- на юридических лиц — от 10 000 до 15 000 рублей.
Если для реализации технических мер требуется использовать сертифицированные средства, но они не применяются, оператор несет ответственность в соответствии с частью 2 статьи 13.12 КоАП. Здесь также предусмотрено наложение штрафа:
- на граждан — от 1 500 до 2 500 рублей с конфискацией несертифицированных средств защиты информации или без таковой,
- на должностных лиц — от 2 500 до 3 000 рублей,
- на юридических лиц — от 20 000 до 25 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.
Бывает и так, что требования в области обеспечения безопасности ПДн реализованы, а инциденты ИБ возникают. Например, в результате нарушения работниками установленных правил безопасной обработки ПДн. В таких случаях работники могут привлекаться к дисциплинарной ответственности.
Неправомерная обработка персональных данных
Чаще всего это случаи, когда данные субъекта обрабатываются без его согласия. Или когда фактические цели, сроки и условия обработки данных не соответствуют указанным в согласии. Ответственность за такие нарушения предусмотрена частями 1 и 2 статьи 13.11 КоАП. Это снова наложение штрафа:
- на граждан — от 2 000 до 15 000 рублей,
- на должностных лиц — от 10 000 до 300 000 рублей,
- на юридических лиц — от 60 000 до 700 000 рублей.
В случае повторного нарушения размеры штрафов составят:
- для граждан — от 4 000 до 30 000 рублей,
- для должностных лиц — от 20 000 до 500 000 рублей,
- для юридических лиц — от 100 000 до 1 500 000 рублей.
Иногда, например, при повторном нарушении, размеры штрафов для юридических лиц и индивидуальных предпринимателей могут отличаться. В остальном индивидуальные предприниматели несут ответственность, аналогичную ответственности юридических лиц.
Дополнительно работники оператора, действия или бездействие которых привело к описанным нарушениям, могут привлекаться к дисциплинарной ответственности.
Разглашение персональных данных
Ответственность за разглашение персональных данных может быть как административной, так и уголовной. Это связано с тем, что именно такой вид нарушений потенциально имеет самые тяжелые последствия.
Ответственность за разглашение ПДн
152-ФЗ предусматривает два вида таких нарушений: предоставление и распространение ПДн. Разберем их подробнее.
Предоставление ПДн — это их передача конкретным сторонним лицам или организациям в целях, не предусмотренных согласием субъекта. В этом случае оператор несет ответственность в соответствии с частью 1 статьи 13.11 КоАП. Пример такого нарушения — передача оператором третьим лицам базы телефонных номеров своих клиентов для рассылки смс-рекламы.
Распространение ПДн — действия работников оператора, в результате которых данные становятся доступными неопределенному кругу лиц. В данном случае ответственность оператора зависит от содержания этих ПДн.
| Содержание ПДн, распространенных оператором | Ответственность за распространение ПДн | Ответственность за распространение ПДн с использованием служебного положения |
| Распространение данных о частной жизни субъекта (личная или семейная тайна) без его согласия. | Часть 1 статьи 137 Уголовного кодекса РФ: от штрафа в размере до 200 000 рублей до лишения свободы на срок до двух лет с лишением права заниматься определенной деятельностью на срок до трех лет. | Часть 2 статьи 137 Уголовного кодекса РФ: от штрафа в размере до 300 000 рублей до лишения свободы на срок до четырех лет с лишением права заниматься определенной деятельностью на срок до пяти лет. |
| Распространение данных личных переписок, телефонных переговоров, почтовых и иных сообщений. | Часть 1 статьи 138 Уголовного кодекса РФ: от штрафа в размере до 80 000 рублей до исправительных работ на срок до одного года. | Часть 2 статьи 138 Уголовного кодекса РФ: от штрафа в размере до 300 000 рублей до лишения свободы на срок до четырех лет. |
| Распространение иных данных без согласия субъекта ПДн. | Часть 1 статьи 13.11 КоАП: штраф до 1 500 000 рублей. | Часть 1 статьи 13.11 КоАП: штраф до 1 500 000 рублей. |
Как не допустить разглашения ПДн
Чтобы избежать нарушений, оператору персональных данных мало иметь согласие субъекта на обработку ПДн. Полученные данные должны использоваться только в целях, перечисленных в согласии, и только в течение срока его действия. То есть если субъект отозвал согласие, оператор обязан уничтожить ПДн и прекратить их обработку, иначе он нарушит закон.
В начале 2024 года приняты законопроекты об административной и уголовной ответственности за утечки персональных данных. Вот что они предполагают.
- Дополнение статьи 13.11 КоАП восемью новыми частями. Они предусматривают ужесточение ответственности и введение оборотных штрафов за допущение утечек ПДн. Речь о ситуациях, когда данные становятся доступными неопределенному кругу лиц в результате недостатков реализованных оператором мер по обеспечению безопасности ПДн или бездействия оператора. Размер штрафа будет зависеть от объема похищенных данных (количества субъектов ПДн в украденной базе). Он может достигать 3% выручки организации за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей.
- Дополнение УК РФ новой статьей 272.1, которая предусматривает ответственность за сбор, использование, передачу и хранение в цифровом виде ПДн, полученных незаконным путем, и за неправомерное использование специальных и биометрических ПДн. Кроме того, ответственность за нарушение закона о персональных данных ужесточается, если обстоятельствами преступления были использование служебного положения, корыстная заинтересованность, причинение крупного ущерба, предварительный сговор группы лиц.
Другие нарушения 152-ФЗ
Участие работников оператора в инцидентах, связанных с ПДн, может сводиться не только к неосторожному или недобросовестному исполнению своих служебных обязанностей. Иногда работник хочет получить доступ к ПДн в обход реализованных мер по обеспечению их безопасности. Такие действия могут рассматриваться как неправомерный доступ к компьютерной информации. Наказание предусмотрено статьей 272 УК: от штрафа в размере до 200 000 рублей до лишения свободы на срок до двух лет. Ответственность ужесточается, если обстоятельствами преступления были использование служебного положения, корыстная заинтересованность, причинение крупного ущерба или тяжких последствий, предварительный сговор группы лиц.
Нарушения при обработке ПДн могут быть связаны не только с процессами обеспечения их безопасности. К организации обработки также предъявляются определенные требования. Например, необходимо уведомить Роскомнадзор о намерении обрабатывать ПДн. Кроме этого, нужно поддерживать актуальность содержащихся в уведомлении данных, сообщать об опубликовании политики в отношении обработки ПДн, о назначении ответственных за обработку ПДн и так далее. Ответственность оператора за невыполнение таких требований предусмотрена частями 3-9 статьи 13.11 КоАП.
Как не допустить нарушений при обработке персональных данных и обеспечении их безопасности
Чтобы процессы обработки ПДн были управляемыми, прозрачными и безопасными, необходимо выполнить несколько шагов:
- Четко сформулировать цели использования ПДн и условия достижения этих целей, перечни необходимых данных, предполагаемые операции с данными, необходимость передачи данных третьим лицам или организациям для достижения целей.
- Определить основные условия обработки ПДн: программные средства обработки и обеспечения безопасности данных, физическое размещение аппаратных средств, список участвующих в обработке данных должностей и подразделений.
- Определить должностное лицо, ответственное за организацию процессов обработки ПДн, а также должностное лицо или подразделение, ответственное за обеспечение безопасности ПДн.
- Разработать, утвердить и опубликовать в общедоступном источнике (например, на официальном сайте организации) политику в отношении обработки и обеспечения безопасности ПДн, а также типовые формы согласия субъекта на обработку его ПДн, отзыва согласия, запроса предоставления сведений об обработке ПДн.
- Уведомить Роскомнадзор об обработке персональных данных по установленной форме. Поддерживать информацию об условиях обработки ПДн в актуальном состоянии и своевременно подавать в Роскомнадзор уведомления обо всех существенных изменениях.
- Поддерживать актуальность политики организации в отношении обработки и обеспечения безопасности ПДн и формы согласия субъекта на обработку его ПДн, а также их соответствие фактическим процессам.
- Разработать и реализовать комплекс организационных и технических мер по обеспечению безопасности ПДн. Регулярно (раз в год) проводить контроль их эффективности и на постоянной основе совершенствовать их. Как выполнить требования по обеспечению безопасности ПДн при использовании сервисов Selectel, мы написали в Академии.
Резюме
К процессам обработки и обеспечения безопасности ПДн предъявляется множество требований. Ответственность за их выполнение несет организация-оператор цифрового сервиса, в котором обрабатываются ПДн, и задействованные в их обработке сотрудники.
За нарушения, допущенные при обработке и обеспечении безопасности ПДн, предусмотрена дисциплинарная, административная и уголовная ответственность. Причем уровень ответственности повышается вместе с совершенствованием законодательства в сфере защиты данных граждан. В ближайшее время ожидается утверждение поправок в КоАП и УК. Они вводят серьезную ответственность за утечки ПДн.
Чтобы достигать целей бизнеса без нарушений, заботясь о благополучии своих работников и тех, кто доверил вам свои данные, необходимо знать, какие данные вы обрабатываете и с какой целью. Не менее важно поддерживать высокий уровень коммуникации внутри организации и с вашими клиентами — субъектами ПДн. Однозначное и корректное разделение ответственности, ответственное использование данных и прозрачность процессов их обработки — основа для долгого продуктивного сотрудничества.
