Авторы:
Надежда Шакель, Алина Кушнерова
После вступления в силу регулирования персональных данных закономерно всё чаще стали появляться новости о масштабных утечках персональных данных. Эта сфера затрагивает и службы доставки, и сферу продаж, и крупные предприятия.
Оказываясь в такой ситуации, несмотря на то, что имеются риски привлечения к административной и порой уголовной ответственности, компании не всегда знают, как следуют действовать. Об основных требованиях законодательства в этой сфере – наш материал.
Что такое утечка данных?
В законодательстве отсутствует такой термин как «утечка данных». Обычно об утечке данных говорят, когда появляются свидетельства того, что персональные данные, которые использовались той или иной компанией (в основном это базы данных клиентов), появляются на общедоступных ресурсах, или иным образом становятся доступными неограниченному кругу лиц.
Таким образом, можно говорить о нарушении такого способа обработки персональных данных, как распространение персональных данных.
Следует различать ситуации распространения и предоставления персональных данных:
- распространение подразумевает, что персональные данные стали известны неопределенному кругу лиц;
- предоставление же означает, что с персональными данными ознакомился только определенный круг лиц (например, предоставлением может считаться ознакомление с персональными данными всеми сотрудникам компании.
Административная ответственность установлена за оба таких деяния:
- умышленное незаконное предоставление персональных данных влечет штраф в размере до 50 БВ;
- за умышленное незаконное распространение персональных данных предусмотрена ответственность в виде штрафа до 200 БВ.
Обращаем внимание, что для наступления административной ответственности требуется наличие умысла.
Если в результате незаконного предоставления или распространения произошло причинение существенного вреда правам, свободам и законным интересам гражданина, то в таком случае предусмотрено наступление уголовной ответственности за незаконные действия в отношении информации о частной жизни и персональных данных (статья 2031 УК).
Обязанность уведомления компетентного органа.
В случае утечки персональных данных компании необходимо уведомить компетентный орган о произошедшем нарушении системы защиты данных. Таким компетентным органом в сфере защиты персональных данных является Национальный центр защиты персональных данных Республики Беларусь.
Порядок уведомления НЦЗПД о нарушениях системы защиты информации изложен в Приказе Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13.
Помните, что КоАП устанавливает административную ответственность также и за ситуации, если такое уведомление об утечке не направлено в адрес НЦЗПД. Так, статья 24.11 КоАП предусматривает наложение штрафа до 20 базовых величин. При этом случаи привлечения к ответственности уже есть.
Когда НЕ нужно уведомлять НЦЗПД?
Уведомлять НЦЗПД не нужно, если такое нарушение системы защиты данных не привело к:
- незаконному распространению, предоставлению персональных данных;
- изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
В этой связи рекомендуем иметь реально функционирующий механизм реагирования на нарушения систем защиты персональных данных. Зачастую компании ограничиваются формальным составлением политик и иных документов, касающихся защиты информации ограниченного распространения (к которой относятся и персональные данные).
Так, например, при потере материальных носителей (флешек, дисков и т.п.) с личными данными клиентов, работники часто не знают о своих обязанностях, ошибочно полагают, что достаточно купить новый носитель информации. При этом информирование руководства, специалистов по информационной безопасности может позволить предпринять меры по поиску носителей и оперативно решить ситуацию. В случае, когда оперативные меры предотвращают незаконное распространение или предоставление персональных данных, не будет необходимости уведомлять НЦЗПД.
Какой срок установлен для направления уведомления?
Уведомление направляется незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях, для выполнения этой задачи также крайне важно, чтобы сотрудники оператора также вовремя проинформировали о потенциальной утрате данных.
Что должно содержать уведомление:
- данные об операторе;
- данные о лице/подразделении, которое назначено ответственным за осуществление внутреннего контроля за обработкой персональных данных;
- дата нарушения;
- момент, когда компании стало известно о нарушении;
- объем утечки (какое количество физических лиц затронуто нарушением);
- оценку последствий нарушения;
- перечень мер, принятых компанией для устранения нарушений;
- перечень предлагаемых мер.
Для получения дополнительной информации переходите на соответствующий раздел сайта НЦЗПД. Здесь изложены требования, предъявляемые к уведомлению о нарушении системы защиты данных.
Какова ответственность за несоблюдение мер защиты данных?
Утечка данных может повлечь ответственность, если при этом было выявлено несоблюдение мер защиты персональных данных.
Основные меры по обеспечению защиты персональных данных определены в ст. 17 Закона о защите персональных данных. Обязательными являются следующие меры:
- назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- издание документов, определяющих политику в отношении обработки персональных данных;
- ознакомление и обучение соответствующих категорий работников с положениями законодательства о персональных данных и политикой оператора;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных.
Помимо ответственности физического лица, за несоблюдение мер обеспечения защиты персональных данных физических лиц КоАП устанавливает ответственность и юридического лица (штраф в размере от 20 до 50 БВ), и ИП (от 10 до 25 БВ).
Если несоблюдение мер защиты повлекло за собой тяжкие последствия, такое правонарушение квалифицируется как несоблюдение мер обеспечения защиты персональных данных и влечет уголовную ответственность для физических лиц (ст. 2032 УК).
