Comments 7
А каким образом фиксируются доказательства наличия утечки? Сми могут соврать, оклеветать и т.д. Утечка может быть, но не у подозреваемого юрлица. Есть ли какие то способы работы в этом направлении? Соблюдать абсолютно все законы - хорошо (наверное), но так и без штанов остаться недолго.
Если СМИ соврут, идти в суд. Доказательства отсутствия утечки можно собрать собственным расследованием. Штраф же дело не моментальное. Если утечка произошла не у вас, а у какого-то вашего подрядчика, то нужно иметь с ним договор-поручение на обработку ПДн, что бы не отвечать за его ошибки (в этом посте у себя писал подробнее про договор-поручение https://t.me/pro152fz/16). Сейчас уже наблюдаю такой момент, что большое количество заказчиков начали требовать не только договор по ПДн, но и подтверждение того, что подрядчик выполняет все требования 152-ФЗ.
По поводу того, как можем зафиксировать утечку, есть много вариантов. Вот например несколько:
1. Сработали свои средства обнаружения, если таковые есть. Например DLP.
2. Данные всплыли в DarkNet.
3. Просигналили внешние сервисы типа НКЦКИ и др.
4. Прямое уведомление или жалобы от пострадавших.
Что делать? Ждать штраф! Ведь теперь роскомнадзор может штрафовать без проведения проверки - только на основе информации от самого оператора персональных данных.
Дела об административных нарушениях по ч. 1 – 2.1 и ч. 4 ст. 13.11 КоАП РФ возбуждаются без проведения проверки, если сам нарушитель сообщил в Роскомнадзор о правонарушении.
Как бы это назвать, самоштрафование?
Логично сводить риск утечки к минимуму, что бы она не случилась или случилась с наименьшей вероятностью. Не сообщить может оказаться намного дороже чем сообщить и правильно согласно закона провзаимодействовать с РКН.
Я намекаю на то, что роскомнадзор больше заботится об удобстве сбора штрафов, чем о предотвращении утечек. По тому как строится эта система, становится понятно, что это будет ещё один, что важно, удобный рычаг для давления на бизнес по запросу. Причем, чтобы не парится, обяжем всех самих на себя доносы писать.
У меня подгарает, практически от любой новости о роскомнадзоре. Закон сейчас таков, что каждый самозянятый дворник обязан стать оператором персональных данных и сразу же написать на себя донос, т.к. выполнить требования закона он физически не может. А потом роскомнадзор решит кого первого шкурить, нет не дворников, конечно, но если что, то любого можно прижать.
Как правильно отреагировать на утечку?
"Это не мы"
Что делать при утечке персональных данных согласно 152-ФЗ: полный алгоритм действий