Новые правки касаются подавляющего большинства российских компаний, если они собирают, хранят, обрабатывают персональные данные клиентов или даже сотрудников. Каждая из таких компаний — оператор персональных данных (ПД), даже если она не зарегистрирована в одноименном реестре Роскомнадзора.
Как было раньше? ФЗ-152 существует давно и подробно описывал требования ко всем операторам ПД защищать информацию. Проблема в том, что ответственность за нарушение была настолько незначительна (штраф до 75 тыс. руб.), что мало кого пугало. Кроме того, ответственность, по сути, наступала за нарушения в обработке данных, а не за сам факт утечки данных.
С осени, предполагается, мы заживем иначе. Закон о защите персональных данных дополнен новыми требованиями. Резюмируем основные положения:
- устанавливать правила доступа к ПД, которые хранятся или обрабатываются в инфраструктуре;
- регистрировать все операции с ПД;
- отслеживать факты утечек по вине сотрудников и неправомерного доступа к системам обработки ПД извне;
- выявлять инциденты и сообщать о произошедшем. В случае кибератаки — в ГосСОПКА, а в случае утечки по вине сотрудника — в Роскомнадзор. На это компании отводятся одни сутки;
- определять виновных, причины, вред от инцидента и отправлять регуляторам результаты внутреннего расследования. Его нужно будет успеть провести за 72 часа.
