Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (июль 2023)

Дата: 28.07.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп

Термины, сокращения и определения

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

ТК 362 — Технический комитет по стандартизации «Защита информации».

Ключевые изменения в области регулирования персональных данных по состоянию на 28.07.2023

1) На рассмотрение Правительства Российской Федерации направлена финальная версия законопроекта об оборотных штрафах за утечки ПДн.

Документ оформлен как поправки в Кодекс об административных правонарушениях. Предполагается, что поправки вступят в силу спустя 30 дней после официального опубликования. Согласно инициативе, за утечку ПДн:

• если она касается от 1 000 до 10 000 субъектов ПДн, штраф для юридический лиц составит от 3 000 000 до 5 000 000 рублей;
• если она касается от 10 000 до 100 000 субъектов ПДн — штраф для юридический лиц составит от 5 000 000 до 10 000 000 рублей;
• если она касается более 100 000 субъектов ПДн — от 10 000 000 до 15 000 000 рублей.

За повторное нарушение при любом объеме дискредитированной информации от 1 000 субъектов ПДн предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 000 000 рублей и не более 500 000 000 рублей. За утечки биометрических ПДн предлагается штрафовать юридические лица на сумму от 15 000 000 до 20 000 000 рублей. Также проект предлагает ввести штрафы различного размера за утечки ПДн для граждан и должностных лиц.

Согласно статистическим данным Роскомнадзора, количество утечек баз ПДн в России в I полугодии 2023 года выросло в четыре раза в сравнении с аналогичным периодом 2022 года. С начала 2023 года случилось уже 76 таких инцидентов против 19 в первые месяцы 2022 года. В последнее время сообщения об утечках баз ПДн стали появляться значительно чаще. За первое полугодие 2023 года специалисты Роскомнадзора зафиксировали 76 инцидентов, в сеть попали около 177 000 000 записей о гражданах. Для сравнения: за первое полугодие 2022 года было зафиксировано 19 фактов утечек ПДн, в ходе которых в открытый доступ попали около 45 000 000 записей.

2) 27.07.2023 состоялся вебинар Роскомнадзора «Защита персональных данных». В рамках традиционной сессии «вопрос-ответ» экспертами Роскомнадзора были затронуты аспекты оформления согласий субъектов ПДн на обработку ПДн, даваемых оператору, поручений на обработку ПДн, нюансы отнесения различных данный к ПДн и установленным законодательством категориям ПДн, вопросы правового основания обработки ПДн, а также вступившие в силу изменения порядка трансграничной передачи ПДн.

Изменения в других областях информационной безопасности

Опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 во 2 квартале 2023 года. ТК 362 проведены работы по разработке и согласованию ряда проектов национальных стандартов, регламентирующих различные процессы информационной безопасности. После принятия и утверждения данные стандарты могут учитываться при разработке (актуализации) внутренней нормативной документации по информационной безопасности.

В начало статьи ↑