На практике хакерским и иным атакам извне подвергается и малый бизнес. Так, один из наших клиентов подвергся атаке со стороны хакерской группы на его интернет-магазин, в результате чего данные клиентов, оставшиеся в CMS-системе сайта, были выложены в публичном доступе в Телеграм-канале. Это нарушение зафиксировал Роскомнадзор и официально потребовал от компании подачи уведомлений о факте неправомерной или случайной передачи персональных данных, а затем составил протокол об административном правонарушении.

Такие тенденции порождают ужесточение правового регулирования. Согласно публичным источникам, в марте этого года Минцифры внесло в Госдуму два законопроекта, касающихся персональных данных. Ведомство начало их разработку ещё в 2022 году.

В соответствии с этими законопроектами:
Предлагается введение оборотных штрафов за утечку персональных данных до 3% от оборота компании (от 5 до 500 млн. рублей).

Планируется изменить Уголовный кодекс и ввести наказание для лиц, которые украли, продали персональные данные либо создали порталы для сделок по незаконному обороту личной информации (ст.ст. 272, 273 и 274 УК РФ) - штраф от 300 тыс. рублей до 3 млн. рублей, лишение свободы на срок — до 10 лет, за намеренное распространение персональных данных граждан.

На сегодняшний день отдельного состава административного правонарушения за утечку именно персональных данных пока не предусмотрено. Имеется состав «разглашение информации с ограниченным доступом» (ст. 13.14 КоАП РФ), под которую подпадают и персональные данные. Штраф для юридических лиц по этой статье составляет до 200 тыс. рублей, для должностных лиц, получивших доступ к персональным данным в связи с исполнением служебных обязанностей – до 50 тыс. рублей.

Также за разглашение персональных данных предусмотрена гражданско-правовая ответственность в виде обязанности возместить убытки, а также компенсировать моральный вред.

Самый высокий штраф сейчас предусмотрен за нелокализацию персональных данных на территории РФ, то есть обязанность сбора персональных данных на сервер в России, - до 8 млн. рублей (ч.ч. 8, 9 ст. 13.11 КоАП РФ). На практике он накладывался в основном на крупные иностранные компании – Гугл, Линкед Ин.

Новые возможные санкции за утечку могут сильно ударить по бизнесу с финансовой стороны: не все могут позволить себе высокотехнологические средства защиты информации, а также компенсировать ущерб всем пострадавшим от утечки гражданам (что потенциально рассматривается Минцифры в качестве смягчающего обстоятельства в случае наложения оборотного штрафа). Также компаниям самостоятельно нужно будет доказывать невиновность (например, в деле об утечке Яндекс признали потерпевшим в результате атаки на сервер).

Обязанности оператора при утечке персональных данных.

С 1 марта 2023 года действует Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.

Операторы обязаны подавать в Роскомнадзор уведомления о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Первичное уведомление предоставляется в течение 24 часов и должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению. Дополнительное уведомление предоставляется в течение 72 часов и должно содержать информацию о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены).

За непредоставление уведомлений об утечке на организацию может быть наложен штраф до
5 000 рублей (ст.19.7 КоАП РФ).

Рекомендуемые минимальные меры

Проблема утечки персональных данных связана не только с хакерской активностью и незащищенностью с точки зрения информационной безопасности, но и с тем, что внутри компании не регламентируются или минимально регламентируются процессы обработки персональных данных и работа с конфиденциальными документами.

Для того чтобы работники понимали свою ответственность, связанную с обработкой персональных данных, следует взять у них под роспись обязательство о неразглашении конфиденциальной информации или заключить соглашение о конфиденциальности в части персональных данных, с которыми они работают.

Также рекомендуется компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц. Это позволит своевременно и грамотно сообщать Роскомнадзору о фактах утечки.

При этом важно понимать, что у операторов персональных данных должен быть разработан целый пакет внутренних документов, которые регламентируют вопросы охраны персональных данных. Также важно фактически внедрять регламенты работы с персональными данными (в том числе их правильного хранения).

Досталось, как пишут в СМИ и соцсетях, помощнику главы США по нацбезопасности Салливану и шефу Пентагона Остину.

Источники:
https://t.me/rianovostiAmerica/19374
Справка для модерации.
Канал не имеет верификации, но РИА неоднократно указывали, что это их канал в своём основном канале "РИА Новости" (http://t.me/rian_ru). Например в этом посте (https://t.me/rian_ru/228727) прямо указано "Все самое главное об американской президентской кампании - в нашем канале РИА Новости: США."

Чистим дно колодца:

• Лопатой выгребаем со дня колодца ил и грязь с помощью лопаты

Фильтр:

• Чистим фильтр колодца от грязи и налета с помощью щетки или скребка.

Заполнение водой:

• Заполняем колодец водой до уровня, который был до начала работы.

• Проверяем еще раз воду. Если сомневаемся - тащим пробу в лабораторию.

А в Тг Экономичного строителя я еще картинку-схему нарисовал, где видно сколько от колодца должно быть до всего, что на участке.