Кому грозит новая уголовная статья 272.1

Разъяснения, комментарии, рекомендации

ПДн – персональные данные;

УК РФ – Уголовный кодекс Российской Федерации;

С декабря 2024 года действует ст. 272.1. УК РФ (Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации»). Статья предусматривает уголовную ответственность за незаконные использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные. Также она предусматривает ответственность за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения такой информации.

Однако, с применением положений ст. 272.1 УК РФ связано много вопросов. Один из которых касается работы специалистов по информационной безопасности. Такие специалисты расследуют утечки и проводят работы, направленные на их предотвращение.

Так, например, в компаниях проводится мониторинг скомпрометированных учетных записей сотрудников, корпоративных аккаунтов и иной информации о сотрудниках и инфраструктуре в открытых источниках, на ресурсах для обмена данными, на теневых ресурсах, на закрытых ресурсах (различные форумы и Telegram-каналы), а также на торговых площадках и площадках онлайн-объявлений.

На данных ресурсах имеются слитые базы данных, содержащие персональные данные. Учитывая новые положения ст. 272.1 УК РФ, возникают вопросы: возможно ли анализировать все вышеперечисленные ресурсы?

Как быть с анализом слитых баз данных, содержащих персональные данные? Что необходимо предусмотреть, чтобы было возможно анализировать эти данные в рамках правового поля?

При принятии законопроекта, одним из его авторов, Александром Хинштейном, отмечено, что новый состав УК РФ говорит об ответственности именно за незаконное использование, передачу, сбор или хранение информации, содержащей персональные данные: «Если вы нашли мой личный мобильный телефон, в этом нет ничего незаконного, потому главный вопрос в том, как вы это используете».

Несколько подробнее о том, как действует новое законодательство, и как оно защищает специалистов по информационной безопасности, объяснило Минцифры РФ.

Здесь делается акцент на том, что уголовная ответственность предусмотрена именно за использование, передачу, сбор и хранение ПДн. Речь идет о случаях, совершенных с нарушением закона.

При этом важно, что доступ к таким ПДн получен неправомерно. А именно в результате незаконного воздействия на серверы, компьютеры и сети для нарушения процесса обработки и хранения персональных данных (например, взлом, незаконное проникновение и кража).

Уголовная ответственность также грозит тем, кто создаёт и обеспечивает работу ресурсов, где хранится и распространяется такая информация.

Что касается работы специалистов по информационной безопасности, со слов Минцифры РФ, закон их защищает, поскольку закон устанавливает основания, при которых допускается обработка незаконно распространенных данных. Например, для обеспечения защиты жизни, здоровья и других интересов граждан.

Таким образом, одним из условий осуществления деятельности, направленной на защиту ПДн от утечек, противодействие мошенникам и подобной работы ИТ-специалистов, является условие добросовестности и соблюдение условий и требований, предъявляемых к обработке ПДн законом.

А мы в свою очередь, хотим дать несколько рекомендаций, учет которых поможет подтвердить вашу добросовестность в рассматриваемой ситуации:

 А мы в свою очередь, хотим дать несколько рекомендаций, учет которых поможет подтвердить вашу добросовестность в рассматриваемой ситуации:

  1. Разработайте Политику в отношении обработки персональных данных, а также иные локальные акты, в которых предусмотрите цель обработки ПДн, связанную с осуществлением деятельности, направленной на расследование взломов и утечек, принятие мер защиты по их предотвращению. Обязательно укажите правовые основания осуществления данной деятельности, связанные с обеспечением защиты жизни, здоровья и других законных интересов  компании и ее сотрудников, клиентов и иных субъектов ПДн.
  2. Если Вы выполняете данную работу не для себя – обязательно имейте договор с четко прописанным предметом и условиями выполнения работ. Фиксируйте Акты выполненных работ.
  3. Если проводите работы внутри компании, то обязательно фиксируйте мероприятия, направленные на проведение работ по расследованию утечек и их предотвращению. Например, Акт внутреннего расследования, Акт Оценки вреда, который причинен субъектам персональных данных в связи с нарушением закона и тп.
  4. Регулярно проводите и фиксируйте документально обучение сотрудников. Обучение можно проводить по локально-нормативным актам в области обработки персональных данных (на подобие, как происходит обучение по пожарной безопасности).  Ознакомиться с полным списком документов Вы можете на нашем сайте
  5. Подайте Уведомление о намерении осуществлять обработку персональных данных (если еще не подавали).  Обновите Уведомление в соответствии с принятыми мерами и по новой форме (в случае если Ваша компания есть в Реестре операторов). В нашем вебинаре «О подаче уведомления», мы рассказываем, как это сделать.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять