Материал раздела Основной

Что делать бизнесу с новыми поправками в ФЗ-152

Вступили в силу правки в закон о защите персональных данных. Эти новшества выводят прежде «беззубый» закон сразу в «высшую лигу» строгих и карающих. Что нужно знать про обновленный ФЗ-152 и кого он касается, рассказывает Алексей Парфентьев («СёрчИнформ»)
Фото: Unsplash
Фото: Unsplash

Новые правки касаются подавляющего большинства российских компаний, если они собирают, хранят, обрабатывают персональные данные клиентов или даже сотрудников. Каждая из таких компаний — оператор персональных данных (ПД), даже если она не зарегистрирована в одноименном реестре Роскомнадзора.

Как было раньше? ФЗ-152 существует давно и подробно описывал требования ко всем операторам ПД защищать информацию. Проблема в том, что ответственность за нарушение была настолько незначительна (штраф до 75 тыс. руб.), что мало кого пугало. Кроме того, ответственность, по сути, наступала за нарушения в обработке данных, а не за сам факт утечки данных.

С осени, предполагается, мы заживем иначе. Закон о защите персональных данных дополнен новыми требованиями. Резюмируем основные положения:

  • устанавливать правила доступа к ПД, которые хранятся или обрабатываются в инфраструктуре;
  • регистрировать все операции с ПД;
  • отслеживать факты утечек по вине сотрудников и неправомерного доступа к системам обработки ПД извне;
  • выявлять инциденты и сообщать о произошедшем. В случае кибератаки — в ГосСОПКА, а в случае утечки по вине сотрудника — в Роскомнадзор. На это компании отводятся одни сутки;
  • определять виновных, причины, вред от инцидента и отправлять регуляторам результаты внутреннего расследования. Его нужно будет успеть провести за 72 часа.