Практика взаимодействия Роскомнадзора с организациями, ставшими «жертвами» утечек персональных данных, в последнее время, до вступления в силу с 30 мая 2025 года новых составов правонарушений по ч.12-14 ст.13.11 КоАП РФ, начала формироваться.
Интересная история произошла с одной из компаний, обратившейся к нам за поддержкой в марте 2025 года. В середине 2024 года у этой организации была подтверждена утечка персональных данных. Оператор ПДн, используя облачные технологии для своих баз данных, был убежден, что такая платформа надежно защищена, что подтверждал и действующий у них аттестат соответствия по защите информационной системы в ЦОДе. На практике это оказалось совсем не так.
Получив информацию о факте распространения персональных данных в Интернете, компания в течение суток проинформировала Роскомнадзор о факте утечки, при этом раскрыв все меры по ст.18.1 и ст.19, включая аттестацию части своих компьютеров. Затем мы помогли им оперативно провести внутреннее разбирательство и отправить регулятору второе уведомление в соответствии с конкретными требованиями приказа Роскомнадзора от 14.11.2022 г. №187. Ввиду того, что при утечке персональных данных не было чувствительных для субъектов идентификаторов, оператор ПДн не стал информировать своих клиентов о факте распространения информации (это тогда, а с 2025 года этого допускать нельзя). Не прошло, как говорится, и полгода, как в компанию пришел запрос от Управления Роскомнадзора по региону по данному компьютерному инциденту. Интрига этого документа состояла в том, что регулятор, перечисляя в циркуляре обязанности компании как оператора персональных данных принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей по ФЗ-152 «О персональных данных», потребовал предоставить свои документы и локальные акты, подтверждающие выполнение не шести, как указано в ч.1 ст.18.1 закона, обязательных мер, а лишь пяти из них:
Приказ о назначении ответственного за организацию обработки персональных данных.
Политику по обработке и защите персональных данных с приложением документа о целях обработки персональных данных.
План внутреннего контроля и последнее заключение об аудите соответствия обработки персональных данных законодательству, выданное организацией-лицензиатом ФСТЭК России.
Акт оценки вреда, который может быть причинен субъектам персональных данных.
Приказы генерального директора компании об ознакомлении всех работников с основным законодательством в области персональных данных, внутренними локальными актами и приложением списка допущенных к обработке персональных данных в соответствии с трудовыми функциями работников, листов ознакомления, а также подтверждение того факта, что все работники компании прошли обучение по персональным данным.
Здесь нужно обратить внимание на формулировки запроса: «обучение», а не «ознакомление», хотя законом предусмотрены именно варианты информирования. На практике, как известно, это не одно и то же. Чтобы подытожить историю, мы должны сделать основной вывод: Роскомнадзор, проведя анализ действий нашего клиента, акцентировал внимание на «действии или бездействии» оператора ПДн в контексте индикаторов риска нарушения требований ФЗ-152 «О персональных данных». Как вы знаете, в области персональных данных приказами Минцифры от 15.11.2021 №1187 и от 17.08.2023г. №720 утверждены четыре индикатора риска нарушения обязательных требований, которые приводят к внеплановым проверкам Роскомнадзора. Основной индикатор, который имеет нормативно-правовой статус, это наличие трех и более фактов несоответствия информации в уведомлении об обработке персональных данных и политике на сайте, именно по целям обработки персональных данных, предусмотренной п.2 ч.1 ст.18.1 ФЗ-152 «О персональных данных». Поэтому мы в очередной раз предупреждаем своих слушателей и клиентов о значимости этого «формального» для многих операторов персональных данных документа - «Цели обработки персональных данных». А наш клиент - главный «герой» этой истории - благополучно прошел негласную проверку Роскомнадзора после утечки персональных данных.