Что такое пнд в информационной безопасности период
Защита персональных данных шифрованием
Информационная система любой организации содержит персональные данные (ПНд) о сотрудниках и клиентах, которые в соответствии с ФЗ № 152-ФЗ должны быть защищены.
Законодательно подлежат шифрованию ПДн от обезличенно-общих до личных, имеющих прямое воздействие на человека (здоровье, религиозные взгляды, особенности личной жизни). Самая высокая категорийность защиты требуется данным, которые передаются в Пенсионный фонд (ФИО, зарплата, социальное положение, инвалидность, семейное положение, число детей и т.п.).
Разделяются базы данных на малые, средние и распределенные. В крупных системах важна отладка системы корреляции событий, устанавливающих взаимосвязь сообщений о потенциальных угрозах, проводящих комплексную оценку опасности.
Законом о шифровании персональных данных 152-ФЗ Правительство РФ установило алгоритм, позволяющий безопасно работать с информацией, а также меры взыскания в случае несоблюдения требований вплоть до уголовной ответственности и аннулирования лицензий. К шифрованию персональных данных предъявляются требования следующего порядка:
Необходимость регулярного обновления технологий защиты позволила выработать ГОСТы шифрования персональных данных (Р 34.11-2012 «Стрибог», блочные Р 34.12-2015 «Магма»/«Кузнечик», Р 34.13-2015). ГОСТовские алгоритмы устойчивы к взлому, отличаются высокой производительностью и хорошими данными распараллеливания), позволяя подбирать оптимальную защиту к различным (ограниченным или полноценным) ресурсам вычислительного оборудования.
Алгоритмы шифрования данных
Алгоритм защиты персональных данных в организации включает типовой перечень действий, которые необходимо выполнить для защиты:
Алгоритм построения системы защиты персональных данных состоит из пяти этапов:
Для распространенной платформы 1С шифрование выполняется без внешних компонентов, com объектов, чтобы полностью изолировать ее от привязки к операционной системе.
Проект обеспечения защиты информации. Что такое и кому он нужен.
Защита информации довольно широкое понятие, однако все процедуры по обеспечению информационной безопасности регламентируются законодательством Российской Федерации. Опыт работы на рынке услуг по обеспечению информационной безопасности (ИБ) показывает, что большинство Заказчиков обрабатывает конфиденциальную информацию, относящуюся к коммерческой тайне и персональным данным физических лиц, сотрудников, клиентов, партнеров и т. д.
КТ и ПДн. Что можно, а что обязаны защищать.
Защита информации, относящейся к коммерческой тайне (КТ) реализуется на добровольной основе и по желанию владельца информационных ресурсов, которые включают в себя программно-технические средства обработки информации и саму информацию.
В отличие от КТ, защита персональных данных является обязательной, эта обязанность закреплена в Федеральном законе № 152-ФЗ «О защите персональных данных» от 26.01.2007 г. (далее – ФЗ-152). Кроме того, при организации процесса защиты информации, принадлежащей субъектам ПДн, Оператор обязан руководствоваться целым набором положений:
В соответствии со ст. 3 ФЗ-152 под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
На основании ст. 19 упомянутого выше Федерального Закона при обработке персональных данных (далее – ПДн) должна обеспечиваться их защита путем определения актуальных угроз безопасности и организационных и технических мер, направленных на предотвращение вероятности реализации выделенных угроз в информационной системе персональных данных (далее – ИСПДн).
В соответствии с п. 2 Требований к защите ПДн, утвержденными Постановлением правительства РФ № 1119, безопасность ПДн при их обработке в информационной системе обеспечивается с помощью системы защиты (далее – СЗ) ПДн, нейтрализующей актуальные угрозы безопасности.
В соответствии с п. 3 Приказа ФСТЭК № 21 реализация мер осуществляется в рамках формирования СЗПДн в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденными ПП РФ № 1119.
Строгих требований, обязывающих необходимость разработки проектной документации, в том числе технического проекта, нет. Однако имеется другое обстоятельство, которое немаловажно и позволяет однозначно обосновать необходимость тех или иных затрат.
При построении любой системы важно понимать цели создания и задачи, возлагаемые на нее. Немаловажным фактором, определяющим и обоснующим проведения тех или иных работ, направленных на повышение защищенности конфиденциальной информации, является модель управления информационной безопасностью.
4 подхода к обеспечению защиты информации
В области защиты информации принято выделять следующие модели развития направления по обеспечению защиты информации:
Стихийная модель
С точки зрения затрат, самой затратной и наименее эффективной системой управления информационной безопасностью является стихийная модель. Управление ИБ начинается только после получения предписания от контролирующих органов или после наступления серьезного ИБ-инцидента. При этом, как правило, Заказчик убежден в том, что информационная безопасность и процессы, связанные с ней – пустая трата времени и денег. Если и устанавливаются средства защиты на рабочие места пользователей, то это происходит стихийно без точного понимания применяемых мер защиты.
Организационно-ориентированная модель
Организационно-ориентированная модель, в отличие от стихийной модели, имеет в основе инициативу руководства и персонала в управлении процессами защиты информации, однако, в силу разных обстоятельств, вся защита заканчивается на выпуске и соблюдении установленных в регламентах и политиках правилах. Но практика показывает, как бы строго не соблюдались правила обработки конфиденциальной информации, человеческие ошибки, невнимательность и неосведомленность пользователей увеличивают вероятность нарушения защищённости информационных активов.
Данная модель позволяет минимизировать злоумышленное воздействие со стороны внутренних нарушителей (персонала), но такого рода модель не позволяет обеспечить требуемый уровень защищенности от угроз со стороны внешних злоумышленников. При этом контроль за персоналом реализуется не в автоматизированном режиме, а следовательно, не в полном объеме, особенно в компаниях с большим штатом сотрудников.
«Бумажная» безопасность позволяет держать сотрудников в «ежовых рукавицах», но вот для внешнего злоумышленника такая модель управления ИБ не представляет особых проблем для реализации атак. Как правило, в такой модели управления ИБ статистика реализации инцидентов нарушения ИБ либо полностью отсутствует, либо фиксируются только случае нарушения инструкций и регламентов.
Инцидент-ориентированная модель
Инцидент-ориентированная модель управления ИБ имеет большую зрелость, чем ранее описанные модели, однако в таком подходе также имеется ряд недостатков. Основным – нерациональность расхода бюджета на защиту информации. Как правило, в таком случае планирование общего бюджета требует корректировок, нарушает стабильность функционирования всей Компании и вынуждает руководство выделять денежные средства не в самое удобное время и в весьма существенном объеме в разрезе основных затрат предприятия. Процесс обеспечения ИБ – это стресс для руководства, которое вынуждено «сидеть на пороховой бочке» и ждать, когда же ответственный за ИБ прибежит с дурной вестью о том, что снова взломан сервер и требуется закупить межсетевые экраны.
При таком подходе часто пытаются сделать все собственными силами, не прибегая к помощи специалистов, что еще больше усугубляет положение дел в Компании. Ухудшение происходит в тот момент, когда снова происходит инцидент и становится понятно, что средство защиты выбрано неправильно, настроено некорректно и его управлением никто не занимается. Документирование проводимых манипуляций со средствами защиты и информационной инфраструктурой, как правило, в такой модели никто не проводит.
При смене штата ответственных сотрудников клубок проблем в области ИБ еще больше запутывается. У новых сотрудников отсутствует понимание текущего состояния ИБ в организации, для чего были предприняты те или иные шаги существующей системы.
Риск-ориентированная модель
Риск-ориентированная модель является эталонной моделью развития как информационной безопасности, так и всего бизнеса в целом. Основным достоинством данного подхода является возможность управлять всеми процессами, происходящими в Компании. Управление в такой модели сопоставимо с методологией «разделяй и властвуй». Если кратко, то процесс управления ИБ представляет собой следующую последовательность действий:
1. Инвентаризация информационных ресурсов Компании.
2. Определение ценности ресурса и размера ущерба при его полной или частичной утрате.
3. Определение актуальных угроз информационной безопасности информационного ресурса и вероятности их реализации. На данном этапе дополнительно (для более точного расчета) могут быт определены актуальные уязвимости информационных системах.
4. Расчет величины риска от нарушения информационной безопасности информационного ресурса.
6. Принятие рисков и начало работ по снижению величины выявленных рисков. Для снижения величины рисков как правило применяют две методики:
8. Установка и настройка средств защиты информации.
9. Ввод в действие организационно-распорядительных документов по защите информации.
10. Эксплуатация защищенной информационной системы, поддержание эффективной работы системы защиты информации.
11. Периодическая оценка эффективности применяемых мер по снижению риска. Выполняется посредством мониторинга и анализ системы управления ИБ в целом.
12. Улучшение качества работы системы защиты информации, пересмотр результатов оценки рисков. Как правило, на данном этапе принимается решение о модернизации системы защиты информации и возвращаются к п.5. Рекомендуемая периодичность – 1 раз в 3 года, согласно требованиям НПА РФ.
Схематично данную последовательность действий можно представить в следующем виде:
Все вышеперечисленные этапы должны быть задокументированы и с установленной периодичностью обновляться.
Именно такой подход позволит управлять всем без резких перекосов и ненужных вложений, не паниковать, а действовать уверенно и согласно установленному плану. Такой подход позволит любой процесс, даже самый сложно формализуемый, сделать легко управляемым.
В связи с вышесказанным проектные решения являются не вынужденной тратой, позволяющей на определенной срок забыть о проблемах защиты информации, а способом упорядочивания всех процессов Компании.
Приведенные модели управления ИБ определяют зрелость компании, в том числе и в процессах управления бизнеса. С экономической точки зрения, распределение данных моделей и расходов на обеспечение информационной безопасности выглядит следующим образом:
Таким образом, можно сделать вывод о том, что проектная документация необходима в том случае, когда руководство Компании заинтересовано в четком понимании происходящих в ней информационных процессах, понимании своей системы защиты информации, планирует контролировать бюджет на создание и поддержание СЗИ, руководствуясь правилом «необходимо и достаточно», а также для наиболее эффективного управления информационными системами и системами защиты информации.
Защита ПДн в ГИС
При обработке ПДн в ИСПДн, принадлежащей или находящейся в эксплуатации государственного органа, является государственной информационной системой (далее – ГИС). В соответствии с п. 13 Приказа ФСТЭК 17 для обеспечения защиты информации, содержащейся в ГИС, проводится разработка и внедрение системы защиты информации информационной системы.
Создание системы защиты информации (далее – СЗИ) автоматизированной системы осуществляется согласно СТР-К («Специальные требования и рекомендации по технической защите конфиденциальной информации»). В соответствии с п. 3.7 в разработку СЗИ автоматизированной системы входят следующие стадии создания:
СЗИ для ГИС разрабатывается на основании технического задания на создание информационной системы (далее – ИС) и (или) технического задания (частного технического задания) на создание СЗИ ИС в соответствии с п. 15 Приказа ФСТЭК 17. Разработка СЗИ включает в себя:
Что относится к персональным данным с точки зрения российского регулятора
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье наши коллеги из компании «ИТ-ГРАД» уделили внимание тонкостям определений, подготовили развернутый пост-ответ, который поможет нашим читателям во многом разобраться.
Сама концепция персональных данных и необходимости их защиты довольно стара – правовой основной для российского законодательства в этой сфере послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. – современное развитие интернет- и сетевых технологий вывело вопрос о защите ПНд на новый уровень.
Законодательство РФ [ 2 ] Содержимое подсказки понимает под персональными данными (ПДн)
Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил:
На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что
То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Для лучшего понимания ситуации рассмотрим пример:
 |  |
| Иванов Иван Иванович | Иванов Иван Иванович Менеджер по развитию ГК «ИТ-ГРАД» Телефон: +7 812 313-88-15 ivanov.ivan@it-grad.ru www.it-grad.ru |
Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Зачем Роскомнадзор вводит понятие “идентификатора”
И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:
При этом позиция судов такова, что фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.
Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru).
Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.
Файлы cookie и персональные данные
Также важно заметить, что за последние два года в отношении файлов cookie [ 3 ] небольшой файл, который передает веб-сервер браузеру пользователя, и который сохраняется на компьютере пользователя и в последующем используется для идентификации пользователя при посещении заданного веб-сервера и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.
Решение проблемы
Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.
Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, не только российская тенденция. Так, 25 мая 2018 года вступил в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Остались вопросы?
Ознакомьтесь с вебинаром:
Следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.
Новые правила обработки и распространения персональных данных с 1 марта 2021 года
Изменения в законе о персональных данных с 1 марта 2021 года
Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.
Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.
2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.
3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.
5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.
6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.
7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.
Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.
Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.
Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.
Согласие на обработку данных, разрешенных к распространению
Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.
Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.
Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).
В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.
Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.
Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):
Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.
Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.