Персональные данные (ПДн) – это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К таким сведениям относятся, например, ФИО, дата рождения, паспортные данные, адрес проживания, ИНН, телефон и другие идентифицирующие данные. Отдельно выделяются персональные данные, разрешённые субъектом для распространения. Под этим понимаются данные, к которым субъект дал согласие на обработку и свободно предоставил доступ неограниченному кругу лиц. Примерами таких данных могут быть опубликованное резюме со ссылкой на контактные данные или сведения, размещённые пользователем в социальных сетях с открытым доступом. Про персональные данные и их утечку я пишу уже не первый раз, данная тема становится актуальнее с каждым днем!
В конце статьи расскажу, как уведомить Роскомнадзор о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных.
Под обработкой персональных данных понимается совокупность любых действий или операций с персональными данными, независимо от использования технических средств. Сюда относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование и распространение, а также доступ к персональным данным, их обезличивание, блокирование, удаление и уничтожение . Говоря иначе, обработка включает все этапы работы с данными от момента их получения до окончательного удаления. Автоматизированная обработка персональных данных – это обработка данных с помощью вычислительной техники (компьютерных систем и программ) , например при работе с электронными базами данных, а неавтоматизированная обработка может осуществляться вручную, на бумажных носителях и т.п.
Понятия распространения и предоставления персональных данных различаются по кругу лиц, которым открывается доступ к данным, ниже я дам расшифровку терминов которые непосредственно связаны с защитой персональных данных граждан РФ. Распространение ПДн означает действия, направленные на раскрытие данных неопределённому кругу лиц, то есть когда информация становится публично доступной (например, публикация в открытом источнике или интернет). Предоставление ПДн – это раскрытие информации определённому лицу или определённому кругу лиц, например передача данных конкретному контрагенту или третьей организации по запросу.
Блокирование персональных данных – временное приостановление обработки персональных данных (кроме случаев, когда обработка необходима для уточнения данных). Это означает, что данные технически хранятся, но не используются до устранения причин блокирования (например, при спорных ситуациях по законности их получения). Уничтожение персональных данных – это действия, в результате которых невозможно восстановить содержание данных в информационной системе либо уничтожаются материальные носители данных . Проще говоря, уничтожение полностью удаляет информацию о субъекте из системы. Обезличивание (анонимизация) ПДн – действия, в результате которых без дополнительной информации становится невозможным определить принадлежность персональных данных конкретному субъекту. Например, при анонимизации из записи убирают имя, адрес и другие идентификаторы, оставляя лишь статистическую или обобщённую информацию.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств . Это означает, что базовый блок ИСПДн включает хранилища данных (базы данных) и программно-аппаратные комплексы (серверы, сети и т.д.), используемые для обработки этих данных. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти, физическому или юридическому лицу этого государства. Иными словами, когда персональные данные отправляются за рубеж, при этом они переходят под юрисдикцию закона другой страны.
Оператор персональных данных
Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели и содержание обработки этих данных . Иными словами, оператор самостоятельно решает, зачем и каким образом будут использоваться персональные данные, и несёт ответственность за соблюдение законных требований при обработке. Именно оператор устанавливает состав обрабатываемых данных и методы их обработки (технические и организационные). В соответствии с законом именно на операторов возложена обязанность обеспечивать конфиденциальность и безопасность персональных данных, а также принимать все необходимые меры для защиты прав субъектов данных. В соответствии с ч. 4 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. В настоящее время в реестре операторов, осуществляющих обработку персональных данных содержатся сведения о 966 794 операторах персональных данных.
Утечка данных
В условиях ужесточения законодательства Роскомнадзор призвал организации сообщить обо всех произошедших утечках персональных данных не позднее 30 мая 2025 года . Этот призыв обусловлен вступлением в силу поправок к законодательству о персональных данных, которые предусматривают повышение ответственности за инциденты после указанной даты . Заместитель руководителя Роскомнадзора М. Вагнер отметил, что если факт раскрытия данных станет известен после 30 мая 2025 года (например, опубликованы базы злоумышленниками), к инцидентам будут применяться новые, более строгие нормы. В связи с этим компании рекомендуется заранее уведомить уполномоченные органы об уже имеющихся инцидентах, чтобы они рассматривались по действующим ныне правилам, без новых штрафов за неуведомление и без оборотных штрафов.
Новые поправки в законодательство (Федеральные законы № 420-ФЗ и № 421-ФЗ от 30.11.2024) существенно ужесточают санкции за нарушения в сфере персональных данных. Так, были увеличены штрафы за несанкционированную обработку и утечки данных: для физических лиц штрафы выросли до 10–15 тысяч рублей (ранее 2–6 тыс.), для должностных лиц – до 50–100 тысяч (ранее 10–20 тыс.), для организаций – до 150–300 тысяч (ранее 60–100 тыс.). При повторном нарушении максимальные суммы также увеличены (для физлиц до 30 тыс., для юридических лиц до 500 тыс. рублей). За незаконную передачу персональных данных закладываются ещё более высокие санкции: в зависимости от числа пострадавших и объёма информации максимальный штраф может достигать 15 млн руб. для организаций и 400–600 тыс. руб. для физлиц и госслужащих . Кроме того, за повторную утечку ПДн организаций могут ожидать оборотные штрафы (штрафы в размере 1–3% от годового оборота, но не более 500 млн руб.).
Отдельно вводится административная ответственность за непредоставление уведомления: начиная с мая 2025 года само неуведомление Роскомнадзора о факте утечки будет рассматриваться как нарушение закона!
Для подачи уведомления об утечке компаниям необходимо заполнить специальную форму на сайте Роскомнадзора (в электронном виде). РКН подчёркивает, что при обнаружении инцидента первоочерёдной задачей оператора должно быть снижение ущерба для субъектов данных: необходимо принять меры по минимизации компрометации личной информации, а не концентрироваться лишь на формальном информировании и подготовке к проверкам. Действительно, кража или утечка больших объёмов ПДн может нанести серьёзный вред частным лицам, поэтому уменьшение негативных последствий инцидента стоит на первом месте. По итогам 2024 года Роскомнадзор зарегистрировал 135 случаев утечки баз данных с персональными данными, содержащими свыше 710 млн записей о пользователях, что подчёркивает масштаб проблемы и важность ответственных действий операторов при нарушениях.
Больше юридических разборов, а так же связь со мной — в моём Telegram-канале https://t.me/doverenny