Федеральный закон от 30.11.2024 №420-ФЗ: комплексное руководство по подготовке к новым требованиям в сфере защиты персональных данных

30 ноября 2024 года произошло значимое событие в российском законодательстве о персональных данных — был подписан Федеральный закон № 420-ФЗ, существенно ужесточающий ответственность за нарушения в этой сфере. Данный закон вводит беспрецедентные по размеру штрафы (включая оборотные штрафы в размере до 3% от годовой выручки компаний), а сопутствующий ему ФЗ № 421-ФЗ устанавливает уголовную ответственность с наказанием вплоть до 10 лет лишения свободы за неправомерные действия с персональными данными. Основные положения закона вступают в силу 30 мая 2025 года, что даёт организациям ограниченное время на приведение своих процессов в соответствие с новыми требованиями. В этой статье мы подробно рассмотрим все аспекты нового законодательства и предложим пошаговый план подготовки к его вступлению в силу.

История принятия и предпосылки закона

Федеральный закон № 420-ФЗ стал логичным продолжением государственной политики в области защиты персональных данных российских граждан. Ужесточение ответственности в этой сфере назревало давно, особенно с учетом участившихся случаев масштабных утечек персональных данных из крупных компаний и государственных информационных систем.

Предыстория принятия закона

Последние годы ознаменовались беспрецедентным ростом числа киберугроз и инцидентов, связанных с утечкой персональных данных. Цифровизация экономики привела к тому, что практически все организации обрабатывают большие объёмы персональных данных граждан. При этом ранее существовавшие административные штрафы не мотивировали компании, особенно крупные, вкладывать значительные средства в защиту персональных данных.

Ранее максимальные штрафы за наиболее серьёзные нарушения в сфере персональных данных для юридических лиц не превышали нескольких миллионов рублей, что для крупных компаний было несопоставимо с затратами на создание эффективной системы защиты информации. Фактически, многим компаниям было выгоднее заплатить штраф, чем инвестировать в информационную безопасность, что создавало ситуацию системного риска для персональных данных граждан.

Глобальный контекст

Введение оборотных штрафов и ужесточение ответственности соответствуют мировым тенденциям. Европейский GDPR предусматривает оборотные штрафы в размере до 4% от глобальной выручки компании. Российский законодатель, по сути, адаптировал международный опыт, одновременно учитывая особенности отечественного правового поля.

Цели нового законодательства

Основными целями принятия Федерального закона №420-ФЗ являются:

1. Создание действенных экономических стимулов для компаний вкладывать средства в защиту персональных данных
2. Повышение общего уровня безопасности персональных данных российских граждан
3. Формирование культуры ответственного отношения к обработке персональных данных
4. Снижение количества и масштабов утечек персональных данных
5. Гармонизация российского законодательства с международными тенденциями в области защиты данных

Основные положения Федерального закона №420-ФЗ

Принятый закон вносит кардинальные изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), значительно расширяя и ужесточая ответственность за нарушения в сфере обработки персональных данных.

Диверсификация видов правонарушений

Закон значительно расширяет перечень составов административных правонарушений в сфере персональных данных. Если раньше все нарушения были сгруппированы в небольшом количестве статей КоАП, то теперь они детализированы и разбиты на множество отдельных составов с различными санкциями в зависимости от характера нарушения.

Такая диверсификация позволяет более точно квалифицировать нарушения и назначать соразмерные штрафы, учитывая конкретные обстоятельства дела. Это также создает более четкое понимание для операторов персональных данных о том, какие именно действия или бездействие могут повлечь ответственность.

Новые размеры штрафов

Закон №420-ФЗ вводит беспрецедентные по своему размеру санкции. Для граждан штрафы могут достигать 500 000 рублей, для должностных лиц — 1,5 миллиона рублей, а для юридических лиц — до 20 миллионов рублей за обычные нарушения и до 500 миллионов рублей в случае применения оборотных штрафов.

Штрафы для физических лиц

Для граждан штрафы за нарушения в сфере персональных данных увеличены до 400 000–500 000 рублей. Это затрагивает как обычных граждан, так и индивидуальных предпринимателей, осуществляющих обработку персональных данных.

Штрафы для должностных лиц

Должностные лица теперь могут быть оштрафованы на сумму от 1,3 до 1,5 миллиона рублей. К должностным лицам относятся руководители организаций, их заместители, а также лица, ответственные за организацию обработки персональных данных в компании.

Штрафы для юридических лиц

Для юридических лиц предусмотрены самые серьезные санкции. Базовые штрафы за первичные нарушения составляют от 15 до 20 миллионов рублей. Однако в случае повторных нарушений вводятся оборотные штрафы.

Оборотные штрафы за повторные нарушения

Одним из самых серьезных нововведений закона №420-ФЗ является введение оборотных штрафов для юридических лиц за повторные нарушения. Размер такого штрафа составляет от 1% до 3% от годовой выручки компании за предшествующий календарный год или за часть текущего года, если компания не осуществляла деятельность в предыдущем году.

При этом установлены минимальный и максимальный пределы оборотного штрафа. Минимальный штраф составляет 25 миллионов рублей, а максимальный — 500 миллионов рублей. Это означает, что даже при небольшом обороте компания заплатит не менее 25 миллионов рублей, а крупные компании с многомиллиардной выручкой не будут платить более 500 миллионов рублей, даже если 3% от их выручки превышают эту сумму.

Для кредитных организаций установлены особые правила: оборотные штрафы рассчитываются исходя из размера собственных средств (капитала) на дату совершения нарушения.

Условия для снижения штрафов

Законом предусмотрены механизмы снижения штрафов для компаний, которые систематически инвестируют в информационную безопасность и соблюдают требования законодательства о персональных данных.

Если компания:

• Ежегодно тратила на обеспечение информационной безопасности не менее 0,1% годовой выручки в течение 3 лет
• Соблюдала требования к защите данных в течение 12 месяцев до утечки
• Может документально подтвердить выполнение вышеуказанных условий
• Не имеет отягчающих обстоятельств

то максимальный штраф для такой компании может быть снижен до 50 миллионов рублей, вместо 500 миллионов.

Данная норма закона стимулирует компании не только реагировать на инциденты, но и вкладывать средства в превентивные меры защиты персональных данных.

Уголовная ответственность за нарушения в сфере персональных данных

Параллельно с Федеральным законом №420-ФЗ был принят Федеральный закон №421-ФЗ, который вносит изменения в Уголовный кодекс РФ, устанавливая уголовную ответственность за неправомерные действия с персональными данными.

Новая статья 272.1 УК РФ

Закон вводит в Уголовный кодекс новую статью 272.1, которая предусматривает уголовную ответственность за неправомерные действия с компьютерной информацией, содержащей персональные данные, полученные незаконным путем.

Виды наказаний

В зависимости от тяжести совершенного правонарушения, наказание может варьироваться от штрафа до лишения свободы на срок до 10 лет. Наиболее строгие наказания предусмотрены за деяния, совершенные с использованием служебного положения, организованной группой или повлекшие тяжкие последствия.

Максимальный штраф по уголовным делам может достигать 3 миллионов рублей.

Соотношение административной и уголовной ответственности

Важно понимать соотношение административной и уголовной ответственности в сфере персональных данных. Административная ответственность наступает за нарушения требований законодательства о персональных данных при их обработке оператором, в то время как уголовная ответственность — за незаконное получение и использование персональных данных, по сути, за их кражу или неправомерный доступ.

Это означает, что в случае утечки данных по вине оператора (например, из-за недостаточных мер защиты), компания будет привлечена к административной ответственности и выплатит штраф. Если же кто-то намеренно похитил эти данные, он может быть привлечен к уголовной ответственности.

Сроки вступления в силу и переходный период

Необходимо четко понимать временные рамки вступления новых законов в силу для правильного планирования мероприятий по обеспечению соответствия.

Вступление в силу изменений в КоАП РФ

Федеральный закон №420-ФЗ, вносящий изменения в КоАП РФ, вступает в силу через 180 дней после его официального опубликования. Учитывая, что закон был подписан 30 ноября 2024 года, новые административные штрафы и санкции начнут действовать с 30 мая 2025 года.

Это означает, что у организаций есть шесть месяцев на то, чтобы провести аудит своих процессов обработки персональных данных и привести их в соответствие с требованиями законодательства.

Вступление в силу изменений в УК РФ

Федеральный закон №421-ФЗ, вносящий изменения в Уголовный кодекс РФ, вступил в силу сразу после официального опубликования, то есть уже 11 декабря 2024 года.

Это значит, что уголовная ответственность за неправомерные действия с персональными данными уже действует, и необходимо немедленно принять соответствующие меры для предотвращения подобных нарушений.

Кого затрагивают изменения в законодательстве

Новое законодательство затрагивает все организации и индивидуальных предпринимателей, которые обрабатывают персональные данные. Однако степень влияния изменений будет различаться в зависимости от масштаба организации, объема обрабатываемых данных и характера деятельности.

Коммерческие организации

Наибольшее влияние новое законодательство окажет на коммерческие компании, особенно крупные, которые обрабатывают большие объемы персональных данных клиентов. К таким организациям относятся:

• Банки и финансовые учреждения
• Страховые компании
• Телекоммуникационные операторы
• Ритейлеры и компании электронной коммерции
• Транспортные компании
• Туристические агентства
• Медицинские учреждения
• Образовательные организации

Для крупных компаний риск оборотных штрафов особенно высок, поэтому им необходимо уделить максимальное внимание соблюдению требований закона.

Государственные и муниципальные органы

Государственные и муниципальные органы также являются операторами персональных данных и подпадают под действие нового законодательства. Однако для них механизм оборотных штрафов не применяется, поскольку они не имеют выручки в классическом понимании. Тем не менее, фиксированные штрафы для должностных лиц государственных органов также значительно увеличены.

Малый и средний бизнес

Малые и средние предприятия также должны соблюдать требования законодательства о персональных данных. Хотя механизм оборотных штрафов для них может быть не так критичен из-за меньших объемов выручки, фиксированные штрафы в миллионы рублей могут оказаться для них разорительными. При этом важно отметить, что минимальный размер оборотного штрафа составляет 25 миллионов рублей, что для малого бизнеса является огромной суммой.

Иностранные компании, работающие на территории РФ

Иностранные компании, осуществляющие свою деятельность на территории России и обрабатывающие персональные данные российских граждан, также подпадают под действие нового законодательства. Они должны соблюдать все требования российского законодательства о персональных данных, включая локализацию баз данных на территории России.

Пошаговая подготовка к соблюдению нового закона

Учитывая серьезность новых санкций, всем организациям, обрабатывающим персональные данные, необходимо разработать и реализовать комплексный план подготовки к вступлению закона в силу. Ниже представлен пошаговый подход к этому процессу.

Шаг 1: Комплексный аудит процессов обработки персональных данных

Первым и наиболее важным шагом является проведение полного аудита всех процессов обработки персональных данных в организации. Этот процесс включает в себя следующие мероприятия:

1.1 Инвентаризация информационных систем

Необходимо составить полный перечень информационных систем, в которых обрабатываются персональные данные, включая как основные корпоративные системы, так и вспомогательные инструменты, в том числе облачные сервисы, которые могут использоваться отдельными подразделениями.

1.2 Категоризация обрабатываемых персональных данных

Важно определить, какие категории персональных данных обрабатываются в каждой информационной системе, включая:

• Общедоступные персональные данные
• Специальные категории персональных данных (здоровье, биометрия и т.д.)
• Иные персональные данные

1.3 Выявление процессов обработки

Необходимо описать все процессы обработки персональных данных, включая сбор, хранение, передачу, уничтожение, а также понять, кто имеет доступ к данным, как этот доступ контролируется и защищается.

1.4 Анализ соответствия текущих процессов требованиям законодательства

На основе собранной информации нужно провести анализ соответствия текущих процессов требованиям законодательства и выявить все несоответствия и уязвимые места.

1.5 Оценка рисков

Важно оценить риски, связанные с обработкой персональных данных, с учетом новых санкций, предусмотренных законодательством. Это поможет определить приоритеты при планировании мероприятий по устранению несоответствий.

Шаг 2: Разработка и обновление документации

После проведения аудита необходимо разработать или обновить всю необходимую документацию, связанную с обработкой персональных данных.

2.1 Политика в отношении обработки персональных данных

Этот документ является основополагающим и должен включать:

• Цели обработки персональных данных
• Правовые основания обработки
• Объем и категории обрабатываемых персональных данных
• Порядок и условия обработки
• Сроки обработки и хранения
• Права субъектов персональных данных
• Меры по обеспечению безопасности персональных данных

2.2 Согласие на обработку персональных данных

Необходимо пересмотреть формы согласий на обработку персональных данных, убедившись, что они соответствуют требованиям законодательства и содержат все необходимые элементы.

2.3 Внутренние регламенты и инструкции

Требуется разработать или обновить внутренние регламенты и инструкции, касающиеся обработки персональных данных, включая:

• Регламент обработки персональных данных
• Инструкции для сотрудников по работе с персональными данными
• Регламент реагирования на инциденты, связанные с персональными данными

2.4 Договоры с третьими лицами

Необходимо пересмотреть договоры с контрагентами, которым передаются персональные данные, и убедиться, что они содержат все необходимые положения о защите персональных данных.

2.5 Документальное подтверждение инвестиций в информационную безопасность

Учитывая возможность снижения максимального штрафа при подтверждении систематических инвестиций в информационную безопасность, важно организовать документальное подтверждение таких инвестиций, включая:

• Выделение бюджета на информационную безопасность
• Учет расходов на информационную безопасность
• Документирование всех мероприятий по защите персональных данных

Шаг 3: Технические и организационные меры защиты

После определения текущего состояния и разработки необходимой документации следует реализовать технические и организационные меры защиты персональных данных.

3.1 Технические меры защиты

К техническим мерам защиты относятся:

• Внедрение систем шифрования данных
• Установка и настройка средств защиты информации
• Внедрение систем контроля доступа
• Настройка резервного копирования данных
• Установка средств защиты от вредоносного ПО
• Внедрение систем обнаружения и предотвращения утечек данных (DLP)
• Настройка систем мониторинга и регистрации событий безопасности

3.2 Организационные меры защиты

К организационным мерам защиты относятся:

• Назначение лиц, ответственных за организацию обработки и защиты персональных данных
• Разграничение прав доступа сотрудников к персональным данным
• Организация физической защиты помещений, в которых обрабатываются персональные данные
• Внедрение процедур контроля за соблюдением правил обработки персональных данных
• Организация процедур реагирования на инциденты

3.3 Тестирование мер защиты

После внедрения технических и организационных мер защиты необходимо провести их тестирование, включая:

• Проверку эффективности мер защиты
• Симуляцию инцидентов безопасности
• Анализ результатов тестирования и внесение необходимых корректив

Шаг 4: Обучение персонала

Обучение сотрудников является критически важным компонентом защиты персональных данных, поскольку человеческий фактор часто является причиной утечек.

4.1 Разработка программы обучения

Необходимо разработать программу обучения для различных категорий сотрудников, включая:

• Базовое обучение для всех сотрудников
• Углубленное обучение для сотрудников, непосредственно работающих с персональными данными
• Специализированное обучение для технического персонала, отвечающего за защиту информации

4.2 Проведение обучения

Обучение может проводиться в различных формах:

• Очные тренинги
• Вебинары
• Онлайн-курсы
• Интерактивные обучающие материалы

4.3 Контроль знаний

После проведения обучения необходимо организовать контроль полученных знаний, например, через тестирование или практические задания.

4.4 Регулярное обновление знаний

Обучение не должно быть разовым мероприятием. Необходимо организовать регулярное обновление знаний сотрудников, а также проводить обучение для новых работников.

Шаг 5: Взаимодействие с Роскомнадзором

Взаимодействие с Роскомнадзором является важной частью соблюдения законодательства о персональных данных.

5.1 Уведомление об обработке персональных данных

Если организация еще не направляла уведомление об обработке персональных данных в Роскомнадзор, необходимо это сделать. Если уведомление уже было направлено, но в нем произошли изменения, нужно подать уведомление о изменении сведений.

5.2 Подготовка к проверкам

Необходимо разработать процедуру подготовки и прохождения проверок Роскомнадзора, включая:

• Определение ответственных лиц
• Подготовку необходимых документов
• Обеспечение доступа к информационным системам

5.3 Реагирование на запросы

Нужно разработать процедуру реагирования на запросы Роскомнадзора, обеспечивая своевременное и полное предоставление запрашиваемой информации.

Шаг 6: Регулярный мониторинг и аудит

Защита персональных данных — это непрерывный процесс, который требует постоянного мониторинга и регулярных аудитов.

6.1 Внедрение системы мониторинга

Необходимо внедрить систему мониторинга соблюдения требований законодательства о персональных данных, включая:

• Мониторинг информационных систем
• Контроль доступа к персональным данным
• Выявление нарушений и инцидентов

6.2 Регулярные внутренние аудиты

Рекомендуется проводить регулярные внутренние аудиты процессов обработки персональных данных, чтобы выявлять и устранять несоответствия требованиям законодательства.

6.3 Внешние аудиты

В некоторых случаях может быть целесообразно проводить внешние аудиты с привлечением специализированных компаний, особенно для крупных организаций с высокими рисками.

Шаг 7: Разработка и тестирование плана реагирования на инциденты

Учитывая, что даже при самой надежной защите риск инцидентов всегда существует, необходимо разработать и протестировать план реагирования на инциденты, связанные с персональными данными.

7.1 Создание команды реагирования

Необходимо создать команду реагирования на инциденты, связанные с персональными данными, включая представителей ИТ-департамента, службы безопасности, юридического отдела и PR-службы.

7.2 Разработка процедур реагирования

Процедуры реагирования должны включать:

• Выявление и классификацию инцидентов
• Локализацию и устранение последствий
• Расследование причин инцидентов
• Уведомление Роскомнадзора и субъектов персональных данных
• Восстановление нормальной работы

7.3 Тестирование плана реагирования

Необходимо регулярно тестировать план реагирования через симуляцию различных сценариев инцидентов.

7.4 Уведомление Роскомнадзора об инцидентах

Согласно новому законодательству, оператор персональных данных обязан уведомить Роскомнадзор о любом инциденте, связанном с неправомерной передачей или утечкой персональных данных, в течение 24 часов, а также предоставить детальный отчет в течение 72 часов. Необходимо разработать четкую процедуру и шаблоны для таких уведомлений.

Особенности защиты персональных данных в различных отраслях

Требования к защите персональных данных могут иметь отраслевую специфику, которую необходимо учитывать при планировании мероприятий по соблюдению законодательства.

Финансовый сектор

Финансовые организации обрабатывают большие объемы чувствительной финансовой информации, поэтому к ним предъявляются особые требования. Банки должны соблюдать не только общие требования по защите персональных данных, но и отраслевые стандарты, устанавливаемые Банком России.

Особое внимание следует уделить:

• Защите данных о банковских счетах и операциях
• Системам дистанционного банковского обслуживания
• Интеграции с государственными информационными системами
• Процессам идентификации и аутентификации клиентов

Здравоохранение

Медицинские учреждения обрабатывают специальные категории персональных данных, касающиеся здоровья пациентов, что требует повышенного уровня защиты.

Особое внимание следует уделить:

• Защите медицинских карт и историй болезни
• Информационным системам, содержащим результаты исследований
• Передаче данных между медицинскими учреждениями
• Телемедицинским сервисам

Образование

Образовательные учреждения обрабатывают персональные данные учащихся, их родителей или законных представителей, а также сотрудников.

Особое внимание следует уделить:

• Защите данных о успеваемости и посещаемости
• Информационным системам, используемым для дистанционного обучения
• Процессам обмена информацией с государственными органами
• Защите данных о несовершеннолетних

Электронная коммерция

Компании, осуществляющие деятельность в сфере электронной коммерции, обрабатывают большие объемы персональных данных клиентов, включая информацию о покупках, платежах, адресах доставки.

Особое внимание следует уделить:

• Защите данных платежных карт
• Информации, собираемой через веб-сайты и мобильные приложения
• Персонализации и профилированию пользователей
• Трансграничной передаче данных

Технические меры по защите персональных данных

Технические меры защиты персональных данных включают в себя комплекс программных, аппаратных и программно-аппаратных средств, обеспечивающих безопасность персональных данных при их обработке.

Шифрование данных

Одной из ключевых технических мер защиты персональных данных является их шифрование. Шифрование должно применяться как для данных, хранящихся на серверах и рабочих станциях, так и для данных, передаваемых по каналам связи.

Шифрование данных при хранении

Для защиты данных при хранении могут использоваться различные методы:

• Полное шифрование дисков (FDE)
• Шифрование отдельных файлов или папок
• Прозрачное шифрование баз данных
• Токенизация чувствительных данных

Шифрование данных при передаче

Для защиты данных при передаче необходимо использовать:

• Протоколы TLS/SSL для защиты веб-трафика
• VPN для защиты корпоративных коммуникаций
• Шифрование электронной почты
• Защищенные протоколы для передачи файлов

Контроль доступа

Система контроля доступа должна обеспечивать предоставление доступа к персональным данным только авторизованным пользователям и только в объеме, необходимом для выполнения их должностных обязанностей.

Идентификация и аутентификация

Идентификация и аутентификация пользователей должны осуществляться с использованием надежных механизмов:

• Многофакторная аутентификация
• Биометрическая аутентификация
• Использование токенов или смарт-карт
• Единая система аутентификации с централизованным управлением

Авторизация

После успешной аутентификации пользователя должна осуществляться авторизация, определяющая его права доступа:

• Ролевая модель доступа
• Атрибутивная модель доступа
• Мандатная модель доступа
• Разграничение доступа на уровне строк и столбцов в базах данных

Системы обнаружения и предотвращения утечек данных (DLP)

Системы DLP (Data Loss Prevention) предназначены для выявления и предотвращения несанкционированной передачи или утечки персональных данных из организации.

Контроль информационных потоков

DLP-системы должны контролировать все каналы возможной утечки данных:

• Электронная почта
• Веб-трафик
• Съемные носители информации
• Облачные хранилища
• Мессенджеры и социальные сети
• Устройства печати

Анализ контента

DLP-системы должны анализировать содержимое передаваемой информации с целью выявления персональных данных:

• Текстовый анализ с использованием регулярных выражений
• Лингвистический анализ
• Цифровые отпечатки документов
• Распознавание изображений

Мониторинг и регистрация событий безопасности

Системы мониторинга и регистрации событий безопасности (SIEM) необходимы для выявления подозрительной активности и расследования инцидентов.

Сбор и анализ журналов

SIEM-системы должны собирать и анализировать журналы событий из различных источников:

• Операционные системы
• Сетевое оборудование
• Средства защиты информации
• Приложения и базы данных
• Системы контроля доступа

Выявление инцидентов

На основе анализа журналов SIEM-системы должны выявлять подозрительную активность и потенциальные инциденты безопасности:

• Аномальное поведение пользователей
• Попытки несанкционированного доступа
• Массовое копирование данных
• Нестандартные операции с базами данных

Защита от вредоносного ПО

Защита от вредоносного программного обеспечения является необходимым элементом системы защиты персональных данных.

Антивирусная защита

Антивирусная защита должна быть развернута на всех уровнях инфраструктуры:

• Рабочие станции и серверы
• Шлюзы электронной почты
• Веб-шлюзы
• Мобильные устройства

Защита от продвинутых угроз

Для защиты от продвинутых и целенаправленных атак необходимо использовать специализированные решения:

• Системы песочницы (Sandbox)
• Поведенческий анализ
• Системы обнаружения и предотвращения вторжений (IDS/IPS)
• Системы защиты от эксплойтов

Резервное копирование и восстановление

Резервное копирование является критически важным элементом защиты персональных данных, обеспечивающим возможность восстановления данных в случае их потери или повреждения.

Стратегия резервного копирования

Стратегия резервного копирования должна включать:

• Определение данных, подлежащих резервному копированию
• Частоту и тип резервных копий (полные, инкрементальные, дифференциальные)
• Место хранения резервных копий
• Политику ротации носителей

Защита резервных копий

Резервные копии должны быть защищены так же надежно, как и основные данные:

• Шифрование резервных копий
• Контроль доступа к резервным копиям
• Хранение копий в защищенных помещениях
• Использование оффлайн-хранилищ для критически важных данных

Безопасность мобильных устройств и удаленного доступа

С учетом распространения удаленной работы и использования мобильных устройств, необходимо обеспечить их безопасность.

Управление мобильными устройствами (MDM)

Системы MDM должны обеспечивать:

• Удаленное стирание данных в случае утери устройства
• Принудительное шифрование данных
• Контроль установленных приложений
• Применение политик безопасности

Безопасный удаленный доступ

Для обеспечения безопасности удаленного доступа необходимо использовать:

• VPN с надежной аутентификацией
• Решения для контроля доступа к приложениям (Zero Trust Access)
• Сегментацию сети
• Мониторинг удаленных подключений

Организационные меры по защите персональных данных

Организационные меры защиты персональных данных включают в себя действия и процедуры, направленные на предотвращение нарушений в сфере персональных данных путем организации правильных процессов и распределения ответственности.

Назначение ответственных лиц

В каждой организации, обрабатывающей персональные данные, должны быть назначены лица, ответственные за организацию обработки и защиты персональных данных.

Ответственный за организацию обработки персональных данных

Этот сотрудник отвечает за соблюдение организацией требований законодательства о персональных данных в целом. В его обязанности входит:

• Организация процессов обработки персональных данных
• Взаимодействие с субъектами персональных данных
• Взаимодействие с Роскомнадзором
• Координация работы по обеспечению безопасности персональных данных

Ответственный за обеспечение безопасности персональных данных

Этот сотрудник отвечает за техническую защиту персональных данных. В его обязанности входит:

• Внедрение технических мер защиты
• Контроль за соблюдением правил доступа к персональным данным
• Мониторинг защищенности персональных данных
• Реагирование на инциденты безопасности

Разработка политик и процедур

Организация должна разработать и внедрить комплекс политик и процедур, регламентирующих обработку персональных данных.

Политика обработки персональных данных

Основной документ, определяющий подходы организации к обработке персональных данных. Должен содержать:

• Цели обработки персональных данных
• Правовые основания обработки
• Обрабатываемые категории персональных данных
• Порядок и условия обработки
• Права субъектов персональных данных
• Меры по обеспечению безопасности

Политика безопасности персональных данных

Документ, детализирующий меры по обеспечению безопасности персональных данных. Должен содержать:

• Модель угроз и нарушителей
• Технические меры защиты
• Организационные меры защиты
• Порядок контроля за выполнением мер защиты

Процедуры обработки персональных данных

Детализированные инструкции для сотрудников, описывающие:

• Порядок сбора персональных данных
• Процессы хранения и архивации
• Правила передачи персональных данных третьим лицам
• Процедуры уничтожения данных по достижении целей обработки

Управление рисками

Управление рисками является неотъемлемой частью защиты персональных данных.

Оценка рисков

Организация должна регулярно проводить оценку рисков, связанных с обработкой персональных данных:

• Идентификация активов, подлежащих защите
• Выявление угроз и уязвимостей
• Оценка вероятности реализации угроз
• Оценка возможного ущерба

Обработка рисков

На основе результатов оценки рисков должны приниматься решения о их обработке:

• Принятие риска
• Передача риска (страхование)
• Избежание риска
• Снижение риска путем внедрения дополнительных мер защиты

Договорные отношения с третьими лицами

При передаче персональных данных третьим лицам необходимо обеспечить соблюдение ими требований законодательства о персональных данных.

Требования к договорам

Договоры с третьими лицами, получающими доступ к персональным данным, должны содержать:

• Перечень действий с персональными данными, которые может осуществлять третье лицо
• Обязанности по обеспечению конфиденциальности персональных данных
• Требования к обеспечению безопасности персональных данных
• Ответственность за нарушение условий конфиденциальности

Контроль за третьими лицами

Организация должна осуществлять контроль за соблюдением третьими лицами требований по защите персональных данных:

• Регулярные аудиты
• Запрос отчетов о выполнении мер защиты
• Проверка наличия сертификатов соответствия

Регулярные проверки и аудиты

Организация должна проводить регулярные проверки и аудиты процессов обработки персональных данных.

Внутренние аудиты

Внутренние аудиты должны проводиться на регулярной основе и включать:

• Проверку соответствия процессов требованиям законодательства
• Проверку эффективности мер защиты
• Выявление недостатков и уязвимостей
• Разработку рекомендаций по устранению выявленных недостатков

Внешние аудиты

В некоторых случаях целесообразно проводить внешние аудиты с привлечением специализированных компаний:

• При высоких рисках утечки данных
• Перед проверками Роскомнадзора
• При внедрении новых информационных систем
• При существенных изменениях в процессах обработки персональных данных

Документация, необходимая для соблюдения требований закона

Правильно оформленная документация является необходимым условием для соблюдения требований законодательства о персональных данных и может служить доказательством принятия организацией мер по защите персональных данных в случае проверок или инцидентов.

Обязательная документация

Ряд документов является обязательным для всех операторов персональных данных.

Политика в отношении обработки персональных данных

Политика должна быть опубликована на официальном сайте организации и содержать информацию о целях, принципах и условиях обработки персональных данных, а также о мерах по их защите.

Согласие на обработку персональных данных

Для обработки персональных данных на основании согласия субъекта необходимо иметь письменное согласие, оформленное в соответствии с требованиями закона. Согласие должно содержать:

• ФИО субъекта
• Данные документа, удостоверяющего личность
• Сведения об операторе
• Цели обработки
• Перечень персональных данных
• Срок действия согласия
• Порядок отзыва согласия

Уведомление об обработке персональных данных

Операторы персональных данных обязаны уведомить Роскомнадзор о намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных законом.

Внутренние регламенты и инструкции

Кроме обязательной документации, организация должна разработать внутренние регламенты и инструкции.

Положение об обработке и защите персональных данных

Этот документ детализирует политику обработки персональных данных и содержит информацию о процессах обработки, мерах защиты, правах и обязанностях сотрудников.

Инструкции для сотрудников

Для сотрудников, имеющих доступ к персональным данным, должны быть разработаны инструкции, определяющие правила работы с персональными данными и ответственность за их нарушение.

Регламент реагирования на инциденты

Документ, определяющий порядок действий при выявлении инцидентов, связанных с персональными данными, включая порядок уведомления Роскомнадзора и субъектов персональных данных.

Журналы учета

Организация должна вести учет операций, связанных с обработкой персональных данных.

Журнал учета обращений субъектов персональных данных

В этом журнале фиксируются все обращения субъектов персональных данных с запросами о предоставлении информации или отзывами согласия.

Журнал учета инцидентов

В этом журнале фиксируется информация о всех инцидентах, связанных с персональными данными, включая описание инцидента, его последствия и принятые меры.

Документы, подтверждающие соблюдение требований закона

Для подтверждения соблюдения требований закона и возможного снижения штрафа в случае инцидента организация должна иметь документы, подтверждающие принятие мер по защите персональных данных.

Документы о выделении бюджета на информационную безопасность

Для подтверждения систематических инвестиций в информационную безопасность организация должна иметь документы о выделении бюджета на эти цели (не менее 0,1% годовой выручки в течение 3 лет).

Отчеты о проведенных мероприятиях по защите персональных данных

Организация должна документировать все мероприятия по защите персональных данных, включая внедрение технических средств, обучение сотрудников, проведение аудитов.

Документы о проверках и их результатах

Организация должна документировать результаты внутренних и внешних проверок системы защиты персональных данных, а также принятые меры по устранению выявленных недостатков.

Взаимодействие с Роскомнадзором

Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере персональных данных. Правильное взаимодействие с этим органом является важной частью соблюдения законодательства о персональных данных.

Уведомление Роскомнадзора

Операторы персональных данных обязаны уведомлять Роскомнадзор о своих намерениях по обработке персональных данных.

Порядок подачи уведомления

Уведомление подается в территориальный орган Роскомнадзора по месту нахождения оператора. Уведомление может быть подано в бумажной форме или через электронную форму на портале Роскомнадзора.

Содержание уведомления

Уведомление должно содержать:

• Данные оператора (наименование, адрес, ИНН и т.д.)
• Цели обработки персональных данных
• Категории персональных данных
• Категории субъектов персональных данных
• Правовое основание обработки
• Перечень действий с персональными данными
• Меры по обеспечению безопасности
• Информацию о трансграничной передаче данных
• Данные об ответственном лице

Уведомление об инцидентах

Согласно новому законодательству, оператор обязан уведомить Роскомнадзор о любом инциденте, связанном с неправомерной передачей или утечкой персональных данных.

Сроки уведомления

Уведомление должно быть направлено в течение 24 часов с момента обнаружения инцидента. В течение 72 часов оператор должен предоставить детальный отчет об инциденте.

Содержание уведомления об инциденте

Уведомление должно содержать:

• Информацию о характере инцидента
• Категории и примерное количество затронутых субъектов персональных данных
• Категории и примерное количество затронутых записей персональных данных
• Возможные последствия инцидента
• Принятые меры по устранению последствий

Проверки Роскомнадзора

Роскомнадзор может проводить плановые и внеплановые проверки соблюдения операторами требований законодательства о персональных данных.

Плановые проверки

Плановые проверки проводятся на основании ежегодного плана проверок, который публикуется на сайте Роскомнадзора. О плановой проверке оператор уведомляется не менее чем за три рабочих дня до ее начала.

Внеплановые проверки

Внеплановые проверки могут проводиться на основании:

• Жалоб субъектов персональных данных
• Информации о нарушениях, полученной из других источников
• Истечения срока исполнения предписания об устранении нарушения
• Поручения Президента РФ или Правительства РФ

Подготовка к проверке

Для успешного прохождения проверки оператор должен:

• Назначить ответственное лицо за взаимодействие с проверяющими
• Подготовить необходимую документацию
• Обеспечить проверяющим доступ к информационным системам
• Организовать рабочее место для проверяющих

Предписания Роскомнадзора

По результатам проверки Роскомнадзор может выдать предписание об устранении выявленных нарушений.

Содержание предписания

Предписание содержит:

• Описание выявленных нарушений
• Требования об их устранении
• Сроки исполнения предписания

Исполнение предписания

Оператор обязан исполнить предписание в установленный срок и уведомить Роскомнадзор об его исполнении. Неисполнение предписания может повлечь административную ответственность.

Обжалование решений Роскомнадзора

Решения и действия Роскомнадзора могут быть обжалованы в административном или судебном порядке.

Административное обжалование

Решения территориальных органов Роскомнадзора могут быть обжалованы в центральный аппарат Роскомнадзора. Жалоба подается в течение 15 дней со дня получения решения.

Судебное обжалование

Решения Роскомнадзора могут быть обжалованы в суд в порядке, установленном законодательством об административном судопроизводстве или арбитражным процессуальным законодательством.

Заключение

Федеральный закон №420-ФЗ от 30.11.2024 года вносит значительные изменения в систему ответственности за нарушения в сфере персональных данных. Введение оборотных штрафов и уголовной ответственности существенно повышает риски для организаций, не уделяющих должного внимания защите персональных данных.

Основные изменения, вводимые законом

• Значительное увеличение размера административных штрафов для граждан, должностных лиц и юридических лиц
• Введение оборотных штрафов для юридических лиц за повторные нарушения в размере от 1% до 3% годовой выручки (от 25 до 500 миллионов рублей)
• Установление уголовной ответственности за неправомерные действия с персональными данными с наказанием до 10 лет лишения свободы
• Обязанность оператора уведомлять Роскомнадзор об инцидентах в течение 24 часов и предоставлять детальный отчет в течение 72 часов

Ключевые рекомендации

Для минимизации рисков организациям рекомендуется:

• Провести комплексный аудит процессов обработки персональных данных и выявить все несоответствия требованиям законодательства
• Разработать или обновить всю необходимую документацию, связанную с обработкой персональных данных
• Внедрить технические и организационные меры защиты, соответствующие требованиям законодательства
• Проводить регулярное обучение сотрудников правилам обращения с персональными данными
• Наладить эффективное взаимодействие с Роскомнадзором
• Документировать все мероприятия по защите персональных данных для подтверждения систематических инвестиций в информационную безопасность
• Разработать и протестировать план реагирования на инциденты, связанные с персональными данными

Перспективы применения закона

Введение столь жестких санкций за нарушения в сфере персональных данных свидетельствует о серьезном внимании государства к этой проблеме. Можно ожидать, что после вступления закона в силу 30 мая 2025 года, Роскомнадзор будет активно применять новые нормы, особенно в отношении крупных компаний, допускающих утечки персональных данных.

При этом есть основания полагать, что штрафы будут применяться дифференцированно, с учетом усилий организации по защите персональных данных. Компании, которые смогут документально подтвердить систематические инвестиции в информационную безопасность, будут иметь возможность существенно снизить размер потенциального штрафа.

Внедрение культуры ответственного отношения к персональным данным и систематический подход к их защите позволит организациям не только минимизировать риски штрафов, но и повысить доверие клиентов и партнеров, что является важным конкурентным преимуществом в современном цифровом мире.