Закон об изменениях в КоАП об административных нарушениях в области персональных данных подписан: возможные последствия

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».

Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.

Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.

Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.

Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.

Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.  

Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».

Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.

Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.

Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.

Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru