Инциденты, связанные с персональными данными
Одним из ключевых нововведений Федерального закона от 14.07.2022 № 266-ФЗ, который обозначил реформу в сфере персональных данных в Российской Федерации, явилось закрепление обязанности работы операторов с инцидентами, связанными с персональными данными (обозначение, кстати, условное).
Законодатель выделил два типа событий, являющихся инцидентами:
1. Компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных (Компьютерный инцидент с персональными данными).
2. Факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов персональных данных (Инцидент с персональными данными).
Компьютерные инциденты с персональными данными
Термин «компьютерный инцидент» очень хорошо знаком субъектам критической информационной инфраструктуры (КИИ) и приведен в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
К сожалению, для операторов персональных данных не все так прозрачно, что же является компьютерным инцидентом с персональными данными, поэтому постараемся его скомпилировать:
Компьютерный инцидент с персональными данными — факт нарушения и (или) прекращения функционирования информационной системы персональных данных и (или) нарушения безопасности обрабатываемых в такой информационной системе персональных данных, в том числе произошедший в результате компьютерной атаки, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных.
В силу ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» о подобных инцидентах операторы обязаны информировать ФСБ России.
Порядок такого информирования должен быть определён ФСБ России, но, к сожалению, на момент написания данной заметки информация даже о наличии проекта такого документа отсутствует.
Дополнение в заметку от 20.02.2023 года: приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
Однако стоит отметить, что в ходе SOC-ФОРУМ 2022 представителем Национального координационного центра по компьютерным инцидентам (НКЦКИ) было озвучено, что планируется установить два варианта взаимодействия.
Один вариант будет коррелировать с существующим регламентом взаимодействия субъектов КИИ с НКЦКИ.
Данный регламент можно найти здесь.
Другой вариант предполагается реализовать через сайт Роскомнадзора.
Вполне закономерно, что для операторов персональных данных, являющихся субъектами КИИ, которые и без нововведений в закон «О персональных данных» должны в принципе информировать ФСБ России, компьютерный инцидент с персональными данными будет частным случаем обычного компьютерного инцидента.
Если компьютерный инцидент с персональными данными влечет за собой нарушение прав субъектов персональных данных, то тогда информировать надо еще и Роскомнадзор, но об этом чуть ниже.
Инцидент (вообще) с персональными данными
Законодатель под инцидентом с персональными данными понимает любой факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов персональных данных. Как видно, привязка к любым информационным технологиям, информационным системам персональных данных отсутствует. В силу ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» уведомлять о таких инцидентах необходимо Роскомнадзор.
Порядок такого уведомления раскрыт куда лучше, чем в случае с компьютерными инцидентами.
Во-первых, законодатель заранее обозначил сроки уведомления — 24 часа с момента выявления инцидента и установил неотъемлемые требования к наполнению такого уведомления:
— информация о предполагаемых причинах инцидента;
— информация о предполагаемом вреде, нанесенном правам субъектов персональных данных;
Пожалуй, это пока одна из самых сложных частей подготовки уведомления, так как требования по оценке такого вреда пока не утверждены и представлены лишь в виде проекта.
— информация о принятых мерах по устранению последствий инцидента;
— информация о лице, уполномоченном на взаимодействие с Роскомнадзором.
Во-вторых, Роскомнадзор реализовал на своем сайте специальную электронную форму, позволяющую оперативно передать информацию об инциденте.
Стоит отметить примеры возможных инцидентов с персональными данными по версии Роскомнадзора:
Что будет, если не уведомлять?
В настоящее время какой-либо специальной ответственности для операторов, скрывших инцидент с персональными данным, не предусматривается. Однако надо всегда помнить про ст. 19.7 КОАП «Непредставление сведений (информации)», кроме того, в перспективе все же обещают штрафы за непредставление информации об инцидентах (вообще) с персональными данными и конкретно за умалчивание информации о компьютерных инцидентах с персональными данными.
Выводы
Фактически операторы персональных данных могут столкнуться с тремя типами инцидентов:
1. Инциденты с персональными данными (вообще).
2. Компьютерные инциденты с персональными данными, повлекшие нарушение прав субъектов персональных данных.
3. Компьютерные инциденты с персональными данными, не повлекшие нарушение прав субъектов персональных данных.
Инциденты с персональными данными всегда сопряжены с нарушением прав субъектов персональных данных и происходят в результате случайности или неправомерных действий (бездействия). Компьютерные инциденты с персональными данными всегда являются следствием неправомерных действий (бездействия), но не всегда приводят к нарушению прав субъектов персональных данных.
От типа инцидента зависит порядок уведомления о нем и, скорее всего, состав действующих лиц от оператора.
Вполне разумно уже сейчас проработать процесс взаимодействия с государственными органами по описанным выше инцидентам в локальных нормативных актах оператора. Обозначить людей, которые смогут компетентно взаимодействовать с Роскомнадзором и (или) ФСБ России в лице НКЦКИ в рамках того или иного инцидента.