Законодательные требования к операторам персональных данных
Статья 21 Федерального закона № 152-ФЗ обязывает компании уведомлять Роскомнадзор о любых инцидентах, которые привели к неправомерной передаче персональных данных. Вы должны сообщить регулятору о факте утечки, если информация попала к третьим лицам или оказалась в открытом доступе. Закон не оставляет выбора: информирование является прямой обязанностью, а не добровольным решением руководства.
Регулятор отслеживает публикации в теневых форумах и телеграм-каналах. Если Роскомнадзор узнает об инциденте раньше вас, компания теряет право на добровольное признание вины. Это ужесточает позицию надзорного органа при проведении проверки и расчете штрафа.
Главное правило: Срок отсчитывается с момента, когда вы обнаружили признаки утечки, а не с момента завершения внутреннего расследования.
Первый этап: Уведомление в течение 24 часов
Оператор обязан направить первичный отчет в течение суток после выявления инцидента. На этом этапе вы сообщаете государству сам факт совершения атаки или технического сбоя. РКН ждет конкретные данные, которые помогут оценить масштаб проблемы.
В первичном уведомлении укажите следующие сведения:
- Описание инцидента. Укажите дату и время происшествия, а также обстоятельства обнаружения проблемы.
- Категории данных. Перечислите типы скомпрометированной информации: ФИО, паспортные данные, адреса проживания или номера телефонов.
- Количество пострадавших. Укажите примерное число субъектов, чьи права могли пострадать.
- Контактные лица. Предоставьте данные сотрудника, который отвечает за связь с регулятором.
- Принятые меры. Опишите действия, которые вы уже предприняли для локализации утечки.
Используйте электронную форму на портале Роскомнадзора. Авторизация через Госуслуги подтверждает юридическую значимость документа. Если вы подаете отчет с опозданием, регулятор фиксирует нарушение сроков автоматически.
Второй этап: Итоговый отчет в течение 72 часов
Через три дня после первичного сообщения вы должны предоставить результаты внутреннего расследования. Этот документ содержит доказательную базу и объясняет причины произошедшего. Тщательно прорабатывайте текст, так как он ляжет в основу правовой защиты компании.
Включите в дополнительное уведомление следующие пункты:
- Причины инцидента с указанием конкретных уязвимостей или ошибок персонала.
- Сведения о лицах, которые допустили нарушение или осуществили доступ к данным.
- Итоговая оценка вреда, нанесенного субъектам персональных данных.
- Подробный перечень мер по предотвращению подобных утечек в будущем.
Результаты расследования определяют, признает ли суд компанию виновной в халатности или подтвердит факт кибератаки, которую невозможно было предотвратить стандартными средствами защиты.
VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежомКонсультация+7 (495) 118 24 84
Взаимодействие с ГосСОПКА и НКЦКИ
Закон требует информировать не только Роскомнадзор. Операторы должны направлять сведения об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Этой системой управляет Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Передавайте данные через личный кабинет на сайте НКЦКИ или через установленные каналы связи ведомственных сегментов. Специалисты центра анализируют технические параметры атаки. Они помогают координировать действия по защите инфраструктуры, если инцидент носит массовый характер.
Типичные ошибки при подготовке уведомлений
Юристы часто фиксируют ошибки в формулировках, которые вредят бизнесу. Избегайте поспешных выводов о виновности сотрудников до официального завершения проверки. Используйте нейтральные формулировки, описывающие технические факты.
Не занижайте объем утечки в первом письме. Если проверка выявит, что пострадало в десять раз больше людей, Роскомнадзор расценит это как предоставление недостоверных сведений. Лучше указать максимально возможный диапазон пострадавших записей, чем скрывать реальный масштаб трагедии.
Соблюдайте точность при описании мер защиты. Если вы напишете, что данные были зашифрованы, а расследование покажет обратное, вы получите максимальный штраф. Регулятор проверяет соответствие ваших слов фактическим настройкам систем безопасности.
Последствия невыполнения требований 152-ФЗ
Государственная дума регулярно пересматривает размер штрафов за утечки персональных данных. Сейчас санкции исчисляются сотнями тысяч рублей, но законодатели вводят оборотные штрафы. Отсутствие уведомления в установленный срок превращает техническую проблему в юридическую катастрофу.
Роскомнадзор назначает внеплановые проверки компаний, которые скрывают факты инцидентов. В ходе таких проверок инспекторы изучают всю документацию: от журналов доступа до приказов о назначении ответственных. Своевременное уведомление демонстрирует вашу добросовестность и готовность сотрудничать с государством.
Наши юристы помогают подготовить уведомления в Роскомнадзор и НКЦКИ. Мы анализируем инцидент, формулируем безопасную правовую позицию и подаем документы через государственные порталы. Вы получаете профессиональное сопровождение в критической ситуации, что снижает риск административного преследования.