Legal Talks
Логотип Сфера
Логотип Legal Academy
Статья

15 миллионов за утечку персональных данных: разбираем новый закон

Госдума приняла законопроект, усиливающий административную ответственность за нарушения в области обработки и хранения персональных данных. Среди нововведений — миллионные штрафы за утечки и обязательное уведомление Роскомнадзора о таких инцидентах. Как теперь быть бизнесу? Можно ли избежать штрафов? И насколько новая инициатива поможет защитить персональные данные граждан?
Время прочтения: 10 минут

Закон предусматривает штрафы в зависимости от объема утечки данных, допущенной оператором. Например, за утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб., для юридических лиц — от 5 млн до 10 млн руб.

За массовую утечку данных (более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов) штрафы вырастут до 400 тыс., 600 тыс. и до 15 млн рублей.

Для компаний, которые не готовы быстро адаптироваться к новым реалиям, принятый закон может стать серьезным вызовом, считает Лана Чесанова, юрист в сфере социального права. «Теперь за утечку данных предусмотрены не только штрафы до 3% от годовой выручки, но и обязательное уведомление Роскомнадзора в течение 24 часов», — рассказывает она. И добавляет, что многие малые и средние компании, у которых нет ресурсов на внедрение сложных систем защиты, окажутся в зоне риска.

«Слабые места бизнеса сегодня — это устаревшие CRM-системы, использование мессенджеров для передачи данных и отсутствие квалифицированных технических специалистов», — поясняет эксперт.

Кирилл Кузнецов, юрист «Acsour», также уверен, что те компании, которые не смогут подстроиться под новые требования закона, рискуют оказаться под пристальным вниманием Роскомнадзора в ходе профилактических проверок.

«Более того, такие организации с высокой вероятностью столкнутся с существенно увеличившимися штрафами, что может сказаться на устойчивости бизнеса», — говорит он.

Слабое место бизнеса

Алексей Филатов, старший юрист юридической компании «i-legal», рассказал в комментарии для «Сферы», что ранее бизнес не придавал особого значения направлению уведомлений в Роскомнадзор (РКН). Законодательство не содержало специальной ответственности за это. Существовала общая ответственность в размере  3-5 тыс. руб., предусмотренная  ст.19.7 КоАП РФ.

«Согласно информации с официального сайта Роскомнадзора, в реестр занесены менее миллиона операторов персональных данных. Это менее 1/7 от общего числа юридических лиц и ИП, зарегистрированных в РФ (по данным на март 2022 года). Таким образом, остальные предприниматели нарушают требования по подаче уведомления в РКН», — отмечает Филатов.

И те из них, кто не успеет сориентироваться в изменившейся сиитуации, рискуют получить штраф до 300 000 рублей.

Алексей Филатов отмечает, что новая ответственность не касается уведомления об изменении сведений или о прекращении обработки персональных данных, а значит компании могут избежать штрафа, единожды подав уведомление.

Успеть за 24 часа

Эксперт говорит и о том, что утечка персональных данных — труднопрогнозируемая ситуация. Ее причиной могут быть многие факторы: от преднамеренного взлома системы до ошибки в адресе электронной почте при отправке важного сообщения, содержащего персональных данные клиентов или сотрудников.

«Бизнес может лишь уменьшить вероятность утечки, а именно: регламентировать процессы, связанные с персональными данными, разделить базы данных, хранящие данные, а также вложиться в средства защиты информационных систем, где хранятся персональные данные. Осуществление последнего, в том числе, является смягчающим обстоятельством при повторных утечках персональных данных, а значит оператор получит меньший штраф», — советует Филатов.

Алгоритм действий

Георгий Габолаев, генеральный директор «Группа-А», специально для «Сферы» написал небольшую инструкцию, которая поможет быстро адаптироваться к нововведениям:

  • Уведомлять РКН об утечках. «Согласно новым требованиям, компании обязаны сообщать о фактах утечки данных в Роскомнадзор. Это нужно сделать в кратчайшие сроки (как правило, не позднее 24 часов)», — поясняет он.
  •  Обеспечить кибербезопасность. Использовать современные антивирусные программы и системы защиты.
  • Регулярно обновлять программное обеспечение.
  • Шифровать данные, чтобы их нельзя было использовать в случае утечки.
  • Обучить персонал. «Большинство утечек происходит из-за человеческого фактора. Регулярное обучение сотрудников основам кибербезопасности и правилам обработки данных — обязательный шаг», — отмечает эксперт.
  • Вести документацию. Важно фиксировать все процессы, связанные с обработкой данных. Это поможет доказать добросовестность компании в случае претензий.
  • Проводить аудит систем обработки данных. Регулярная проверка IT-инфраструктуры на уязвимости позволяет предотвратить утечки до их возникновения.

Как уберечься от штрафа

По мнению, Кирилла Кузнецова, юриста «Acsour», от санкций защитит соблюдение требований законодательства:

  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
  • Федеральный закон от 29.12.2022 N 572-ФЗ
  • Требования подзаконных актов в сфере персональных данных и обеспечения их безопасности, в том числе постановления Правительства, приказы Роскомнадзора, приказы ФСТЭК, приказы Министерства цифрового развития, связи и массовых коммуникаций.

Юрист частной практики Евгения Чижевская предлагает читателям «Сферы» обращать внимание на такие нюансы работы с информацией:

  • Нужно подать уведомление в РКН до начала обработки персданных (и таким образом попасть в реестр операторов).
  • Если есть в планах передавать данные на заграничные сервера, нужно получить отдельное разрешение Роскомнадзора.
  • Нужно иметь политику обработки данных и опубликовать ее для всеобщего обозрения.
  • Нужно получать согласия от всех физических лиц на обработку их данных. Причем отдельно получаются согласия на обработку, на рассылки и на распространение — под распространением чаще всего понимается публикация отзывов с указанием имен и фамилий. Без отдельных согласий нельзя делать отдельные виды действий. Например, без согласия на рассылки такой вид уведомлений использовать нельзя.
  • Своевременно реагировать на запросы физических лиц, касающихся обработки их информации. Например, они просят удалить сведениях о них и не обрабатывать — значит, надо это сделать.
  • Уведомлять Роскомнадзор об утечках, если они происходят.
  • Предпринимать физические и технические средства защиты ПД. Например, ограничивать доступ к данным для определенных сотрудников, использовать шифрование, вести учет материальных носителей и т.д.

«Нюансов много, но должна сказать, что все эти требования пытаются соблюдать только в крупных компаниях. Малый бизнес обычно ограничивается уведомлением РКН, сбором согласий и наличием политики обработки ПД. И это выглядит отчасти справедливым, потому что и потенциальный ущерб от малого бизнеса гораздо ниже. Но закон формальных разграничений почти не делает, компании любых размеров несут одинаковые обязанности», — отмечает Чижевская.

Ручной пересчет

Еще один сложный момент: значительная доля предпринимателей обрабатывает данные исключительно вручную, без использования средств автоматизации. Как быть им?

«Такие предприниматели и компании имеют право не регистрироваться в Роскомндазоре, хотя остальные требования закона они должны выполнять. И для них внимания Роскомнадзора уже меньше, поскольку их не будет в реестре операторов, они не попадут в плановые проверки. Для них остается только риск жалобы со стороны клиента или конкурента», — говорит Евгения Чижевская.

Малый и крупный бизнес

Георгий Габолаев опасается, что увеличение штрафов за утечки создаст дополнительные риски для малых и средних компаний, которые часто не имеют ресурсов для внедрения современных систем кибербезопасности.

Тогда как Евгения Чижевская уверена, что штрафы за утечку направлены в большей степени на компании, которые обрабатывают значительное количество персональных данных.

«Это в целом и было мотивацией принять эти поправки, т.к. за последний год утекли миллиарды записей персональных данных, и в основном, от крупных компаний — в первую очередь, банков. Исключать внимания ко всем компаниям, независимо от размера, нельзя, но нужно понимать, что внимание будет направлено прежде всего на крупных игроков», — уточняет она.

По мнению эксперта, нововведение должно стать мотивацией к усовершенствованию систем обработки персональных данных для малого и среднего бизнеса.

Алексей Филатов надеется, что помимо штрафов (условного «кнута»), государство может предпринимать и другие меры, способствующие уменьшению штрафов.

«Например, субсидии на закупку средств защиты информационных систем или бесплатных курсов по работе с персональными данными (условный «пряник»). В тандеме со страхом получить штраф, данные меры могут помочь бизнесу включиться в борьбу с утечками», — говорит он.

Стоит ли овчинка выделки?

Олег Мартынов, руководитель налоговой практики «NDM-consulting», поднимает вопрос о том, что же на практике основное нарушение закона заключается именно в санкционированном распространении сведений, даже помимо воли самого субъекта.

«Операторы, обрабатывающие персональные данные, стараясь соблюсти закон, прибегают к механизму получения согласий на обработку своих данных от физических лиц», — говорит он.

И такие согласия, по словам эксперта, можно встретить везде: в регистрационных формах интернет-продаж товаров (услуг), в виде отдельно подписываемых согласий при заключении договоров, при оформлении услуг банков и т.д.

«В основном текст таких согласий предусматривает избыточные права оператора — мотивируется это тем, что сам субъект дает свое согласие на это. Тем самым создается видимость законности при продолжающихся нарушениях, ведь физические лица далеко не всегда согласны со всем перечнем действий, с которыми оператор предлагает согласиться. Возможности выбрать у физического лица нет: либо согласен – ставь «галочку», либо не сможешь продолжить!» — отмечает Мартынов.

На его взгляд, ужесточение ответственности лишь породит число необоснованных случаев. Операторы будут стремиться включить в согласие как можно больше, чтобы спрос с них был как можно меньше.

«Так происходит вследствие сложившейся гипертрофированности подхода в определении персональных данных, диктуемой действующим механизмом штрафов. В подавляющем большинстве случаев речь даже не идет о какой-либо передаче персональных данных субъектом оператору. Но из-за действующих правил и санкций оператор «заботится» о том, чтобы собрать таких данных как можно больше», — поясняет эксперт.

Утерян паспорт или данные?

Олег Мартынов приводит пример с утерянным паспортом, в котором содержатся ваши ФИО, год и место рождения, адрес, семейное состояние и проч. Его находит случайный прохожий.

«Каким образом действия по случайного прохожего нарушают ваши права на охрану персональных данных? Повторюсь, именно на охрану персональных данных, а не право на неприкосновенность частной жизни. В этом примере незнакомец не сможет воспользоваться вашими данными, потому что они ваши. Фотография в паспорте — не его фотография. И даже если он предпримет меры к замене фотографии, это будет возможно благодаря тому, что у него на руках есть сам физический документ. С простым набором физических данных он ничего сделать не сможет», — уточняет Мартынов.

Он говорит о том, что на самом деле последствия или угроза распространения персональных данных являются преувеличенными.

«Бороться с нежелательными звонками или рассылками можно иным способом. Например, по типу ограничения коллекторских услуг. Либо если решать вопрос не правовым подходом, то можно с помощью уже существующих и действующих систем на основе искусственного интеллекта, которые просто блокируют нежелательные коммуникации. В любом случае вопрос решаем и не несет в себе той угрозы, в связи с которой предусмотрены административные штрафы», — резюмирует он.

Новые правила должны обеспечить более надежную систему безопасности данных пользователей. Для бизнеса — это возможность укрепить доверие клиентов, считают эксперты «Сферы». Компании, которые готовы адаптироваться и внедрять современные технологии защиты данных, окажутся в выигрышной позиции. Вопрос в том, насколько быстро бизнес сможет подстроиться под новые реалии.

Рекомендуем

Статья

Минфин за прозрачность: что ожидает компании после раскрытия данных

Министерство финансов планирует повысить прозрачность государственной политики и регулирования рынка. Для этого потребуется внедрение новых правил раскрытия информации о компаниях, ранее находившихся в санкционных списках, но впоследствии исключенных из них. Вместе со «Сферой» эксперты обсудили потенциальные преимущества такого подхода и риски, с которыми могут столкнуться участники рынка.

Статья

Спорная инициатива: Роскомнадзор хочет ограничить сбор персональных данных 

Роскомнадзор хочет ввести обязательные стандарты работы с персональными данными. Инициатива направлена на дополнительную защиту личных данных граждан от утечек. Если изменения закрепят на законодательном уровне, компаниям разрешат собирать только необходимые сведения о россиянах. Насколько это удачная идея и поможет ли она уберечь клиентов от «утечек», рассказали эксперты.

Статья

Опять проверка? РКН дадут право на дополнительный контроль операторов, передающих данные за границу

Несогласованная трансграничная передача информации без ведома Роскомнадзора может стать поводом для внеплановой проверки бизнеса. Соответствующий документ опубликован на портале проектов нормативных актов. Инициатором новых правил стало Минцифры. В деталях разобралась «Сфера».

Нужно хоть что-то написать

Закрыть модальное окно

ООО «Лигал Академия» предоставляет авторам техническую возможность размещения информации на Информационном юридическом портале и не участвует в формировании ее содержания, в связи с этим не несет ответственность за законность их действий и информацию, размещаемую авторами на данном Информационном портале, не гарантирует качество, полноту и достоверность такой информации.

Авторы самостоятельно несут ответственность за содержание размещаемой ими информации и законность собственных действий в связи с размещением информации на Информационном портале, вне зависимости от того, какое количество пользователей Информационного портала либо третьих лиц получило или могло получить доступ к такой информации.

ООО «Лигал Академия», до тех пор, пока не будет установлено иное, предполагает, что все права (имущественного и неимущественного характера) на информацию принадлежат разместившему ее на Информационном портале автору или автором получены все необходимые права и/или разрешения на такое размещение; размещение такой информации на Информационном портале не нарушает законные права и интересы третьих лиц. Если размещение какой-либо информации нарушает законные права и интересы третьих лиц, такая информация будет удалена с Информационного портала по первому требованию правообладателя и/или лица, чьи законные права и интересы были нарушены.

Претензии, касающиеся информации, размещенной на Информационном портале, могут быть отправлены:
Закрыть модальное окно

Правовые консультации от экспертов Legal Academy

В «Сфере» мы публикуем полезные материалы для юристов и тех, кто обращается к ним за помощью. Но разобрать в статьях все правовые проблемы невозможно: каждая ситуация особенная и требует соответствующего подхода.

Если вы не нашли ответ на свой вопрос, наши эксперты помогут – проконсультируют устно или составят письменное правовое заключение по вашему запросу.

Для рассмотрения каждого запроса назначается практикующий юрист, который специализируется на соответствующей отрасли права. Вы получите достоверное, точное и полное разъяснение по заданному вопросу.

Обращаем внимание на то, что все консультации платные. Точная стоимость зависит от сложности ситуации и формата предоставления консультации (устно/письменно).

Все обращения к нашим специалистам строго конфиденциальны.

Вы можете направить запрос на консультацию одним из указанных ниже способов: