В настоящее время периодическое комплексное обследование корпоративных информационных систем, содержащих и (или) оперирующих персональными данными (далее – «ПДн»), приобретает всё большую актуальность в свете ужесточения регуляторных требований и штрафных санкций.
Так, с 30 мая 2025 года значительно ужесточена административная ответственность за нарушения в области ПДн: по общему составу нарушения для юридических лиц штрафы были увеличены с диапазона 60 000 р. – 100 000 р. до диапазона 150 000 р. – 300 000 р.
Одновременно были введены такие специальные составы административных правонарушений, как:
-
невыполнение обязанности по уведомлению о намерении обрабатывать ПДн;
-
невыполнение обязанности по уведомлению об утечке ПДн;
-
совершение действий (бездействия), повлекших утечку ПДн;
-
совершение действий (бездействия), повлекших утечку специальной категории ПДн;
-
совершение действия (бездействия), повлекших утечку биометрических ПДн.
Кроме того, вышеуказанными изменениями в КоАП РФ введены оборотные штрафы за допущение неоднократных утечек ПДн, а также отменена возможность оплаты соответствующих административных штрафов с 50-процентной скидкой.
Также отметим, что если ранее при сборе ПДн граждан РФ оператор должен был обеспечить их обработку в базах, расположенных на территории России, то с 1 июля 2025 года начал действовать безусловный запрет наиспользование зарубежных баз данных при сборе ПДн.
В соответствии с п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «152-ФЗ») оператор ПДн обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом, в том числе осуществлять внутренний контроль и (или) аудит соответствия обработки ПДн:
-
настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам;
-
требованиям к защите персональных данных;
-
политике оператора в отношении обработки персональных данных;
-
локальным актам оператора.
Для наиболее эффективной минимизации рисков привлечения компании к ответственности за нарушение 152-ФЗ, а равно для предотвращения утечек ПДн, сохранения репутации компании и лояльности клиентов, в настоящее время всё большей востребованностью пользуется услуга аудита корпоративной системы ПДн с привлечением аутсорсинга.
Процедура аудита корпоративных систем ПДн включает комплекс мероприятий для оценки организационно-правовой готовности по соответствующим статьям 152-ФЗ, эффективности внедрения технических мер защиты ПДн, а также способности компании успешно пройти проверку Роскомнадзора. По результатам аудита формируется отчёт, содержащий детальную информацию о выявленных рисках, а также рекомендации по актуализации соответствующих документов и совершенствованию бизнес-процессов.
Специалисты ZTG напоминают о необходимости прохождения регулярного (не реже чем 1 раз в год) аудита корпоративных систем ПДн с привлечением внешних специалистов и (или) специализированных организаций, призванного минимизировать риски применения штрафных санкций и избежать возможного репутационного ущерба, сопряжённого с возможными утечками ПДн.