персональные данные

Утечка персональных данных

by

В январе и феврале 2025 г. Роскомнадзор зафиксировал 19 фактов утечек персональных данных, в результате которых в открытом доступе оказались более 24 млн записей российских пользователей. При этом в 68% случаев инциденты происходили из-за человеческого фактора.

hh.ru, платформа онлайн-рекрутинга в России, и Staffcop провели исследование, чтобы выяснить, насколько сотрудники соблюдают политику защиты данных и другие правила информационной безопасности.

Опрос проводился в марте 2025 г. среди 2019 российских соискателей. Из них 75% — специалисты и рядовые сотрудники, 21% - руководители группы или отдела, 4% — топ-менеджеры. Более 10% опрошенных подтвердили, что у них остался доступ к данным и после увольнения. Что означает, что в компаниях не действуют регламенты по работе с учетными записями. Другими важными результат исследования является: сотрудники не используют информацию с прошлой работы в новых обстоятельствах; у 32% сотрудников есть доступ к конфиденциальной информации; 23% сотрудников считают, что проверка перед увольнением нарушает их личные границы; 38% сотрудников не проходили обучения по правилам информационной безопасности; 21% сотрудников считают, что контроль в сфере информационной безопасности должен быть жестче; 26% опрошенных считают, что утечки происходят из-за намеренных действий сотрудников, 19% — из-за отсутствия строгой политики безопасности в компании, 14% — из-за неосторожности, 9% — из-за недостаточного контроля со стороны работодателя, 4% — из-за действий сторонних злоумышленников.

По мнению эксперта кафедры менеджмента и управления персоналом Среднерусского института управления – филиала РАНХиГС Ирины Авдеевой, организации, которые пренебрегают правилами информационной безопасности, серьезно рискуют своей репутацией на современном рынке. Под серьёзные риски попадают финансовые показатели, бренд компании, бренд работодателя. Более того, утечка данных может привести к снижению лояльности и оттоку как клиентов, так и бизнес-партнеров.


Правила работы с персональными данными

by

С 30 мая 2025 г. в России будут изменены стандарты работы с персональными данными и вступают в силу поправки к закону 152-ФЗ. Это крупнейшее изменение в области защиты личных данных за последние десять лет.

Оператором персональных данных будет считаться любая компания, которая работает с информацией о клиентах, сотрудниках, пользователях сайта или посетителях.

Для сбора данных о поведении посетителей сайта будет требоваться отдельное согласие. Это касается в том числе cookie, содержащих информацию о кликах и времени просмотра товаров. Система штрафов стала строже: теперь предусмотрены разные уровни ответственности — в зависимости от серьезности нарушения и риска для граждан. Санкции выросли кратно:

  1. За отсутствие согласия на обработку данных — до 300 тыс. рублей для должностных лиц и до 700 тыс. для юрлиц.
  2. За неправильное хранение данных — до 6 млн рублей для компании.
  3. За несвоевременное уведомление Роскомнадзора об утечке или начале обработки — штраф до 3 млн рублей.

При повторных утечках данных может применяться оборотный штраф, как в случае с нарушением закона о рекламе — он рассчитывается от оборота компании.

По мнению эксперта Среднерусского института управления - филиала РАНХиГС, доцента кафедры конституционного, административного и уголовного права Натальи Гончарук данные изменения в законодательстве направлены на определение порядка взаимодействия бизнеса с государственными органами относительно персональных данных. Еще одна цель поправок – обеспечить экстерриториальную защиту информации о российских гражданах. Например, поправки предусматривают, что клиенту нельзя отказать в предоставлении услуг, если он не хочет давать согласие на обработку персональных данных в случаях, когда необходимости в них нет. Компаниям станет сложнее манипулировать потребителями, которым больше не придется предоставлять свои данные в обмен, например, на участие в бонусной программе

При этом переход на новые правила потребует от компаний не формального подхода, а полной пересборки процессов: от сайта до внутренних регламентов.


Риски бизнеса и закон о персональных данных

by

 В конце 2024 года произошли изменения в федеральном законе № 152 «О персональных данных», которые прямо или косвенно могут вызвать риски бизнеса в связи с использованием информации о физических лицах (субъекте персональных данных). К таким понятиям персональных данных можно отнести: электронную почту, ФИО, ИНН, номер телефона с ФИО  и другие их сочетания. Собирать, обрабатывать и хранить персональные данные необходимо строго в соответствии с федеральным законом №152-фз. Лицо, обрабатывающее персональные данные, становится оператором персональных данных (далее оператор ПДн). Оператором может быть как физическое лицо, так и индивидуальный предприниматель и самозанятый, физическое лицо в случае, если персональные данные используются не для личных нужд.

Обязательно при обработке персональных данных составляют Уведомление в Роскомнадзор для включения в Реестр. На сегодняшний момент нет практически организаций, которые не работают с персональными данными. На конец ноября 2024 года в реестре операторов Роскомнадзора зарегистрировано до 1 млн организаций и физлиц, при общем количестве юридических и физических лиц, зарегистрированных в России – 7,5 млн, не считая самозанятых.

30 ноября 2024 года введен федеральный закон, ужесточающий ответственность за отсутствие уведомлений. До мая 2025 года предупреждение составит 5 тыс. руб. (чаще Роскомнадзор выписывает предписание в форме предупреждения). После мая 2025 года штрафы значительно увеличиваются: на физическое лицо составят от 5 до 10 тыс. руб., должностное лицо – от 30 до 50 тыс. руб., на юридическое лицо и ИП – от 100 до 300 тыс. руб.

Проверить входит ли организация в реестр оператора Роскомнадзора можно напрямую на сайте, введя наименование организации или ИНН. Рекомендуется ИНН, что сокращает ошибки.

Роскомнадзор осуществляет постоянный мониторинг наличия организаций и физических лиц в реестре операторов, так как уведомления необходимо подавать при любых изменениях в уставной деятельности, местонахождении организации, смене лиц, ответственных за контроль персональных данных, изменение цели обработки персональных данных и иных внутренних локальных документах регламентирующих исполнение федерального закона № 152 «О персональных данных». Для анализа изменений в реестре операторов Роскомнадзор применяет искусственный интеллект и человеческие ресурсы. Обратите внимание, если уведомление (дата представлена на сайте реестра операторов) было подано до февраля 2023 года, то рекомендуется повторно подать уведомление, в связи с изменением формы Уведомления (в разрезе целей обработки персональных данных).

В законе 152-фз указаны действия об утечке персональных данных (копирование базы данных, копия базы данных доступна в интернет, обнаружен взлом данных, обнаружен шифровальщик), то необходимо в течение 24 часов подать Уведомление об инциденте на портале Роскомнадзора. А в течение 72 часов происходит расследование. Ответственность за неуведомление Роскомнадзора об утечке персональных данных с мая 2025 года штрафы для физических лиц достигнут максимум 100 тыс. руб., должностных лиц- от 400 до 800 тыс. руб., юридических лиц и ИП – от 1 млн. руб. до 3 млн. руб. в соответствии с ст. 13.11 КоАП РФ.

Сама утечка данных в соответствии с КоАП зависит от объема утечки. К примеру, объем утечки составляет от 1000 субъектов или 10 тыс. идентификаторов может повлечь штраф для физического лица – от 100 до 400 тыс. руб., для юридических лиц – от 5 до 15 млн. руб.

При этом повторный случай утечки персональных данных приведет к формированию оборотного штрафа от 1 до 3% от прошлогоднего оборота организации

Как отмечает эксперт Среднерусского института управления – филиал РАНХиГС Ирина Кружкова, штрафы могут быть суммированы и за неподачу уведомление и за саму утечку персональных данных, зависят от объема информации, которая «вышла» за пределы организации, то есть суммы могут быть увеличены. Эксперт подчеркивает, что должны быть приняты шаги со стороны юридического и физического лица для минимизации последствий ситуаций с потерей персональных данных: вложения в информационную безопасность (приобретение антивирусов, применение экранов для предотвращения угроз и др.), постоянное документальное подтверждение соблюдения требований к защите персональных данных (локальные акты, уведомления, обучение сотрудников, аудиты), соблюдение правил хранения персональных данных.

Отметим, что прибыль от применения персональных данных сомнительная, а риски бизнеса – существенно высоки!

 

 


Важно: минимизировать риски утечки персональных данных

by

В конце ноября федеральные законодатели приняли в первом чтении проект Федерального закона, закрепляющий механизм предотвращения избыточной обработки персональных данных граждан в целях минимизации рисков неправомерного доступа к указанной информации.

Предполагается, что в Законе РФ «О защите прав потребителей» необходимо закрепить требование о том, что продавец (исполнитель, владелец агрегатора) не вправе ограничивать доступ потребителя к информации о товарах (работах, услугах) в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена действующим законодательством.

Также планируется внесение изменений в Федеральный закон «О персональных данных», устанавливающих, что согласие на обработку персональных данных должно быть оформлено отдельно от иных документов, в т.ч. отдельно от договоров и других согласий на обработку персональных данных, которые предоставляются в иных целях.

По мнению эксперта кафедры конституционного, административного и уголовного права Среднерусского института управления – филиала РАНХиГС Елены Огневой, следует согласиться с разработчиками в том, что принятие проекта устранит правовую неопределенность, позволяющую недобросовестным операторам персональных данных «дезориентировать» граждан в вопросах предоставления согласия на обработку их персональных данных, определения условий и целей обработки таких данных.


Пресс-конференция первой в России Ассоциации компаний по защите и хранению персональных данных

by

      25 апреля в 11:00, при поддержке информационного агентства «Национальная Служба Новостей», состоится онлайн-пресс-конференция Ассоциации компаний по защите и хранению персональных данных, посвященная необходимости образования Ассоциации и новым трендам на рынке обеспечения безопасности и хранения персональных данных граждан.


фото: Пресс-конференция первой в России Ассоциации компаний по защите и хранению персональных данных

25 апреля в 11:00, при поддержке информационного агентства «Национальная Служба Новостей», состоится онлайн пресс-конференция Ассоциации компаний по защите и хранению персональных данных, посвященная необходимости образования Ассоциации и новым трендам на рынке обеспечения безопасности и хранения персональных данных граждан.



С начала 2024 года Роскомнадзор зафиксировал 19 фактов утечек персональных данных, в сеть попало более 510 млн записей о россиянах. За весь 2023 год Роскомнадзор зафиксировал 168 утечек. В связи с множеством проблем рынка, касающихся вопросов хранения и обработки персональных клиентских данных было принято решение создать ассоциацию, которую учредили Stream Telecom, Sendsay и DashaMail. Основная цель создания такой организации заключается в обеспечении безопасности хранения личных данных граждан, улучшении качества работы российских компаний с персональными данными и поддержке их конкурентоспособности на рынке.



В ходе пресс-конференции участники обсудят:

  • Как новая Ассоциация сможет помочь рынку IT?
  • Все ли российские компании действительно занимаются защитой персональных данных пользователей?
  • Какие данные о пользователе может собирать бизнес, а где есть законодательные ограничения?
  • Какие санкции и штрафы могут быть применены к компаниям, в которых произошла утечка персональных данных пользователей?
  • Как Ассоциация будет выдавать сервисам знак качества, удостоверяющий надлежащую обработку и хранение персональных данных их клиентов? 

Участники пресс-конференции: 

  • Кащеев Глеб, генеральный директор CDP (Customer Data Platform) Sendsay. Основатель Ассоциации компаний по защите и хранению персональных данных
  • Юлия Рожкова, генеральный директор сервиса email-маркетинга Dashamail. Основатель Ассоциации компаний по защите и хранению персональных данных
  • Сильченко Александр, основатель и исполнительный директор Stream Telecom. Председатель и основатель Ассоциации компаний по защите и хранению персональных данных.

фото: Пресс-конференция первой в России Ассоциации компаний по защите и хранению персональных данных

? Пресс-конференция состоится в режиме online, с возможностью онлайн-чата: https://clck.ru/39ynMW

⚡️ Ссылку на трансляцию пришлём на почту, указанную при аккредитации

Аккредитацию можно пройти самостоятельно на сайте пресс-конференции: https://clck.ru/39ynMW или аккредитоваться по номеру телефона:

8 (916) 107 77 34

Или письмом на почту: pr@ak152.ru

Также интернет-трансляция будет доступна на сайте www.nsn.fm

Начало пресс-конференции в 11:00

Также, у вас есть возможность задать свой вопрос спикерам пресс-конференции, заполнив следующую форму

После аккредитации вам на почту будет отправлена ссылка на пресс-папку для более комфортной подготовки журналистского материала.

9 обязательных пунктов согласия на обработку персональных данных

by
9 обязательных пунктов согласия на обработку персональных данных

День добрый! Я веду сама кадровый учет сотрудников своего ИП. На практике часто сталкиваюсь с различными ситуациями, которые требуют разъяснений. Одним из таких моментов для меня стало оформление согласия на обработку персональных данных.

Такое согласие может быть составлено как в бумажном, так и в электронном виде и подписано как собственноручно, так и с помощью электронной подписи. Законом не установлено унифицированного бланка для такого документа, но обязательные пункты у него есть. Их нужно указать в том шаблоне, который вы разработаете для своей организации. Формулировка «Я согласен на обработку своих персональных данных» не подойдет.

Итак, бланк согласия будет содержать следующие сведения:

1. о ФИО субъекта персональных данных, реквизитах документа, удостоверяющего его личность, адресе регистрации;

2. если согласие получено от представителя, то данные по первому пункту нужно получить и у представителя, а также указать доверенность или иной документ, позволяющий действовать в интересах субъекта персональных данных;

3. сведения об организации-работодателе — наименование, адрес, ОГРН, ИНН;

4. цель, для которой собираются персональные данные сотрудника;

5. перечень персональных данных, на обработку которых сотрудник дает свое согласие;

6. список действий, которые можно осуществить с персональными данными с согласия работника;

7. наименование и адрес третьей стороны, если обработка и хранение персональных данных поручено сторонней организации;

8. срок, в течение которого действует согласие — законодательно не установлен, может быть и такая формулировка как «до момента отзыва»;

9. способы, которыми владелец персональных данных может отозвать свое согласие;

10. подпись лица, которое дает согласие на обработку персональных данных.

При работе с персональными данными нужно помнить про то, что их обработка и распространение без согласия владельца грозит штрафом как должностному лицу, так и организации.

Истории клиентов АФГ

https://www.#__unknown/afg_perm/

Пользовательское соглашение

Опубликовать