Как снизить риски возникновения ответственности за утечки ПДн

Миф об оборотных штрафах и уголовной ответственности за утечку ПДн перестал быть таковым с принятием изменений в УК РФ и КОАП РФ, которые вступят в силу 30 мая 2025 года.

Если прежде об оценке соответствия 152-ФЗ задумывались не все, то сейчас все чаще от операторов ПДн можно услышать фразу: «Мы готовы, скажите, что нам делать?». Ответ на это дает в авторской колонке, опубликованной в NBJ, Олег Нестеровский, заместитель директора департамента по консалтингу и аудиту ARinteg.

В ней он прошелся по основным изменениям, не забыв упомянуть о том, что увеличение размеров штрафов заставляет операторов ПДн всерьёз задуматься над вопросом их защиты. Но если речь идёт о действии/бездействии, повлекшем утечку ПДн, оспорить виновность оператора крайне сложно, то штраф до 3 млн руб, например, за несоблюдение сроков уведомления об утечке ПДн (24 часа в соответствии с ч. 3.1 ст. 21 152-ФЗ), многие считают крайними мерами.

По словам Олега Нестеровского, нормативная база защиты ПДн максимально отработана, и защиту ПДн необходимо начинать с организации правильных процессов обращения с ними. Провести аудит персональных данных, который покажет реальное положение дел, до прихода с проверкой инспекторов Роскомнадзора, ФСТЭК или ФСБ. Помимо плановых, возможны и внеплановые проверки. Последние, как правило, бывают инициированы жалобами в РКН на неправомерную обработку ПДн. Сначала РКН пришлёт по этому поводу запрос в организацию, и на такие обращения надо уметь грамотно отвечать.

Соблюсти все требования и сравнительно легко вести учёт ПДн помогает и автоматизация. Такие решения на нашем рынке есть. Например, разработанный ARinteg модуль УПДн, совместимый с системой программ «1С:Предприятие 8.3», представляет собой расширение к конфигурации 1С: ЗУП, он позволяет значительно сократить время на ведение учёта ПДн.