Эксперты рассказали, какие документы будут требовать и каков размер штрафов, если их не предоставить
Реальный кейс: медицинская клиника получила неожиданное письмо из прокуратуры. За два дня до конца рабочей недели ведомство потребовало предоставить десятки документов, связанных с обработкой, хранением и защитой персональной информации (ПДн), а также с соблюдением правил для субъектов критической информационной инфраструктуры (КИИ). Времени мало, а документы еще надо найти, ведь в последний раз их обновляли в 2015 году. Почему многие компании сегодня стали получать такие требования и что будет, если не предоставить данные? Ответы на эти вопросы дали эксперты алтайской компании Cortel ("Кортел").
Почему начались массовые проверки?
Формально контроль в сфере защиты персональных данных осуществляет не прокуратура, а Роскомнадзор, ФСТЭК и ФСБ. Еще в марте 2022 года было принято постановление, ограничившее их полномочия. Плановые проверки заморожены до 2030 года, внеплановые – до конца 2024-го. Единственным видом контроля, который остался без ограничений, стали профилактические мероприятия.
Однако существует исключение – прокурорский надзор. И именно через него началась новая волна требований к компаниям. В 2024 году произошло несколько крупных утечек информации о гражданах, что стало причиной активизации прокуратуры. Поэтому в последнее время массово рассылаются запросы с требованием оперативно предоставить документы, пояснили в Cortel.
Как проходит прокурорская проверка?
Процесс начинается с распоряжения внутри ведомства. После этого организация получает официальное решение, где указываются:
- цель (выявить нарушения в сфере ИТ и защиты информации);
- предмет проверки (соблюдение требований конкретным юридическим лицом);
- сроки (дается месяц).
Затем поступает требование подготовить пакет документов. Для структур, относящихся к критической информационной инфраструктуре, перечень делится на три части:
- персональные данные;
- средства защиты информации;
- критическая информационная инфраструктура.
В других случаях список может быть расширен. Например, у некоторых ведомств прокуратура дополнительно проверяла работу сайтов, сетей и порядок применения средств защиты.
Также будет указано, что если компания не сможет предоставить документы, то она должна объяснить причины их отсутствия. Не исключено, что придется предоставить и другие документы по требованию проверяющего уже во время проверки. При выявлении нарушений прокуратура вправе подключать другие органы, и тогда мораторий уже не действует.
Что будет, если не выполнить требования?
В Cortel заверяют, что игнорировать такие запросы нельзя, потому что это чревато серьезными штрафами и репутационными потерями. Финансовая ответственность может достигать сотен тысяч рублей. Например, если выяснится, что организация обрабатывает персональные данные без письменного согласия граждан, юрлицо оштрафуют на сумму от 300 до 700 тысяч рублей.
Для удобства специалисты Cortel составили таблицу штрафов на нарушение КоАП (для увеличения картинки нажмите на две стрелочки в правом верхнем углу).
Штрафы за нарушение КоАП / Иллюстрация Cortel
Кроме того, результаты проверок часто становятся публичными. Информация о нарушениях может стать известна клиентам и партнерам.
И не стоит забывать об ущербе от самих кибератак. Так, в июне 2024 года сеть магазинов "Верный" три дня не принимала оплату картами. Потери оценивались в 120-140 млн рублей в сутки. Схожие последствия испытала и компания СДЭК после масштабной хакерской атаки.
Как подготовиться к проверке?
Есть два пути – внутренними силами или с помощью специализированных сервисов.
Самостоятельно организациям предстоит:
- провести аудит текущих систем и сверить их соответствие с требованиям регуляторов в сфере защиты информации;
- обновить внутренние документы и разработать недостающие регламенты;
- закупить и внедрить технические средства защиты;
- провести обучение сотрудников;
- наладить постоянный мониторинг и подготовку отчетности.
Альтернативный вариант – обратиться к провайдерам комплексных услуг. Сегодня существуют решения "под ключ". Эксперты Cortel советуют сервис SafeCloud 152-ФЗ ("СейфКлауд"). Сервис предоставляет следующие услуги:
- аудит и подробный план действий;
- все необходимые документы по требованиям проверяющих органов;
- подбор, внедрение и настройка средств защиты информации;
- обучение персонала, доступ к экспертному опыту по профильным ИТ- и ИБ-вопросам;
- прямая ответственность на провайдере.
Компания Cortel занимается развитием культуры работы с персональными данными с 2018 года. Все свежие новости и разборы можно найти в закрытом телеграм-канале "Инфобез и персданные" и в открытом канале Cortel. Обращайтесь в компанию, даже если вам нужно решение здесь и сейчас. Вам оперативно пояснят, чем может обернуться прокурорская проверка, и подскажут, как действовать.
Cortel (ООО "Кортэл")
Барнаул, проспект Ленина, 61
Тел.: 8 (800) 775-99-90Фото: ru.freepik.com
Больше материалов на amic.ru.
Реклама, ООО "Кортэл"
Erid: 2W5zFHZ5y7e