15 миллионов за утечку персональных данных: разбираем новый закон

Госдума приняла законопроект, усиливающий административную ответственность за нарушения в области обработки и хранения персональных данных. Среди нововведений — миллионные штрафы за утечки и обязательное уведомление Роскомнадзора о таких инцидентах. Как теперь быть бизнесу? Можно ли избежать штрафов? И насколько новая инициатива поможет защитить персональные данные граждан?
Время прочтения: 10 минут

Закон предусматривает штрафы в зависимости от объема утечки данных, допущенной оператором. Например, за утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб., для юридических лиц — от 5 млн до 10 млн руб.

За массовую утечку данных (более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов) штрафы вырастут до 400 тыс., 600 тыс. и до 15 млн рублей.


Для компаний, которые не готовы быстро адаптироваться к новым реалиям, принятый закон может стать серьезным вызовом, считает Лана Чесанова, юрист в сфере социального права. «Теперь за утечку данных предусмотрены не только штрафы до 3% от годовой выручки, но и обязательное уведомление Роскомнадзора в течение 24 часов», — рассказывает она. И добавляет, что многие малые и средние компании, у которых нет ресурсов на внедрение сложных систем защиты, окажутся в зоне риска.

«Слабые места бизнеса сегодня — это устаревшие CRM-системы, использование мессенджеров для передачи данных и отсутствие квалифицированных технических специалистов», — поясняет эксперт.

Кирилл Кузнецов, юрист «Acsour», также уверен, что те компании, которые не смогут подстроиться под новые требования закона, рискуют оказаться под пристальным вниманием Роскомнадзора в ходе профилактических проверок.

«Более того, такие организации с высокой вероятностью столкнутся с существенно увеличившимися штрафами, что может сказаться на устойчивости бизнеса», — говорит он.

Слабое место бизнеса

Алексей Филатов, старший юрист юридической компании «i-legal», рассказал в комментарии для «Сферы», что ранее бизнес не придавал особого значения направлению уведомлений в Роскомнадзор (РКН). Законодательство не содержало специальной ответственности за это. Существовала общая ответственность в размере  3-5 тыс. руб., предусмотренная  ст.19.7 КоАП РФ.

«Согласно информации с официального сайта Роскомнадзора, в реестр занесены менее миллиона операторов персональных данных. Это менее 1/7 от общего числа юридических лиц и ИП, зарегистрированных в РФ (по данным на март 2022 года). Таким образом, остальные предприниматели нарушают требования по подаче уведомления в РКН», — отмечает Филатов.

И те из них, кто не успеет сориентироваться в изменившейся сиитуации, рискуют получить штраф до 300 000 рублей.

Алексей Филатов отмечает, что новая ответственность не касается уведомления об изменении сведений или о прекращении обработки персональных данных, а значит компании могут избежать штрафа, единожды подав уведомление.

Успеть за 24 часа

Эксперт говорит и о том, что утечка персональных данных — труднопрогнозируемая ситуация. Ее причиной могут быть многие факторы: от преднамеренного взлома системы до ошибки в адресе электронной почте при отправке важного сообщения, содержащего персональных данные клиентов или сотрудников.

«Бизнес может лишь уменьшить вероятность утечки, а именно: регламентировать процессы, связанные с персональными данными, разделить базы данных, хранящие данные, а также вложиться в средства защиты информационных систем, где хранятся персональные данные. Осуществление последнего, в том числе, является смягчающим обстоятельством при повторных утечках персональных данных, а значит оператор получит меньший штраф», — советует Филатов.

Алгоритм действий

Георгий Габолаев, генеральный директор «Группа-А», специально для «Сферы» написал небольшую инструкцию, которая поможет быстро адаптироваться к нововведениям:

  • Уведомлять РКН об утечках. «Согласно новым требованиям, компании обязаны сообщать о фактах утечки данных в Роскомнадзор. Это нужно сделать в кратчайшие сроки (как правило, не позднее 24 часов)», — поясняет он.
  •  Обеспечить кибербезопасность. Использовать современные антивирусные программы и системы защиты.
  • Регулярно обновлять программное обеспечение.
  • Шифровать данные, чтобы их нельзя было использовать в случае утечки.
  • Обучить персонал. «Большинство утечек происходит из-за человеческого фактора. Регулярное обучение сотрудников основам кибербезопасности и правилам обработки данных — обязательный шаг», — отмечает эксперт.
  • Вести документацию. Важно фиксировать все процессы, связанные с обработкой данных. Это поможет доказать добросовестность компании в случае претензий.
  • Проводить аудит систем обработки данных. Регулярная проверка IT-инфраструктуры на уязвимости позволяет предотвратить утечки до их возникновения.

Как уберечься от штрафа

По мнению, Кирилла Кузнецова, юриста «Acsour», от санкций защитит соблюдение требований законодательства:

  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
  • Федеральный закон от 29.12.2022 N 572-ФЗ
  • Требования подзаконных актов в сфере персональных данных и обеспечения их безопасности, в том числе постановления Правительства, приказы Роскомнадзора, приказы ФСТЭК, приказы Министерства цифрового развития, связи и массовых коммуникаций.

Юрист частной практики Евгения Чижевская предлагает читателям «Сферы» обращать внимание на такие нюансы работы с информацией:

  • Нужно подать уведомление в РКН до начала обработки персданных (и таким образом попасть в реестр операторов).
  • Если есть в планах передавать данные на заграничные сервера, нужно получить отдельное разрешение Роскомнадзора.
  • Нужно иметь политику обработки данных и опубликовать ее для всеобщего обозрения.
  • Нужно получать согласия от всех физических лиц на обработку их данных. Причем отдельно получаются согласия на обработку, на рассылки и на распространение — под распространением чаще всего понимается публикация отзывов с указанием имен и фамилий. Без отдельных согласий нельзя делать отдельные виды действий. Например, без согласия на рассылки такой вид уведомлений использовать нельзя.
  • Своевременно реагировать на запросы физических лиц, касающихся обработки их информации. Например, они просят удалить сведениях о них и не обрабатывать — значит, надо это сделать.
  • Уведомлять Роскомнадзор об утечках, если они происходят.
  • Предпринимать физические и технические средства защиты ПД. Например, ограничивать доступ к данным для определенных сотрудников, использовать шифрование, вести учет материальных носителей и т.д.

«Нюансов много, но должна сказать, что все эти требования пытаются соблюдать только в крупных компаниях. Малый бизнес обычно ограничивается уведомлением РКН, сбором согласий и наличием политики обработки ПД. И это выглядит отчасти справедливым, потому что и потенциальный ущерб от малого бизнеса гораздо ниже. Но закон формальных разграничений почти не делает, компании любых размеров несут одинаковые обязанности», — отмечает Чижевская.

Ручной пересчет

Еще один сложный момент: значительная доля предпринимателей обрабатывает данные исключительно вручную, без использования средств автоматизации. Как быть им?

«Такие предприниматели и компании имеют право не регистрироваться в Роскомндазоре, хотя остальные требования закона они должны выполнять. И для них внимания Роскомнадзора уже меньше, поскольку их не будет в реестре операторов, они не попадут в плановые проверки. Для них остается только риск жалобы со стороны клиента или конкурента», — говорит Евгения Чижевская.

Малый и крупный бизнес

Георгий Габолаев опасается, что увеличение штрафов за утечки создаст дополнительные риски для малых и средних компаний, которые часто не имеют ресурсов для внедрения современных систем кибербезопасности.

Тогда как Евгения Чижевская уверена, что штрафы за утечку направлены в большей степени на компании, которые обрабатывают значительное количество персональных данных.

«Это в целом и было мотивацией принять эти поправки, т.к. за последний год утекли миллиарды записей персональных данных, и в основном, от крупных компаний — в первую очередь, банков. Исключать внимания ко всем компаниям, независимо от размера, нельзя, но нужно понимать, что внимание будет направлено прежде всего на крупных игроков», — уточняет она.

По мнению эксперта, нововведение должно стать мотивацией к усовершенствованию систем обработки персональных данных для малого и среднего бизнеса.

Алексей Филатов надеется, что помимо штрафов (условного «кнута»), государство может предпринимать и другие меры, способствующие уменьшению штрафов.

«Например, субсидии на закупку средств защиты информационных систем или бесплатных курсов по работе с персональными данными (условный «пряник»). В тандеме со страхом получить штраф, данные меры могут помочь бизнесу включиться в борьбу с утечками», — говорит он.

Стоит ли овчинка выделки?

Олег Мартынов, руководитель налоговой практики «NDM-consulting», поднимает вопрос о том, что же на практике основное нарушение закона заключается именно в санкционированном распространении сведений, даже помимо воли самого субъекта.

«Операторы, обрабатывающие персональные данные, стараясь соблюсти закон, прибегают к механизму получения согласий на обработку своих данных от физических лиц», — говорит он.

И такие согласия, по словам эксперта, можно встретить везде: в регистрационных формах интернет-продаж товаров (услуг), в виде отдельно подписываемых согласий при заключении договоров, при оформлении услуг банков и т.д.

«В основном текст таких согласий предусматривает избыточные права оператора — мотивируется это тем, что сам субъект дает свое согласие на это. Тем самым создается видимость законности при продолжающихся нарушениях, ведь физические лица далеко не всегда согласны со всем перечнем действий, с которыми оператор предлагает согласиться. Возможности выбрать у физического лица нет: либо согласен – ставь «галочку», либо не сможешь продолжить!» — отмечает Мартынов.

На его взгляд, ужесточение ответственности лишь породит число необоснованных случаев. Операторы будут стремиться включить в согласие как можно больше, чтобы спрос с них был как можно меньше.

«Так происходит вследствие сложившейся гипертрофированности подхода в определении персональных данных, диктуемой действующим механизмом штрафов. В подавляющем большинстве случаев речь даже не идет о какой-либо передаче персональных данных субъектом оператору. Но из-за действующих правил и санкций оператор «заботится» о том, чтобы собрать таких данных как можно больше», — поясняет эксперт.

Утерян паспорт или данные?

Олег Мартынов приводит пример с утерянным паспортом, в котором содержатся ваши ФИО, год и место рождения, адрес, семейное состояние и проч. Его находит случайный прохожий.

«Каким образом действия по случайного прохожего нарушают ваши права на охрану персональных данных? Повторюсь, именно на охрану персональных данных, а не право на неприкосновенность частной жизни. В этом примере незнакомец не сможет воспользоваться вашими данными, потому что они ваши. Фотография в паспорте — не его фотография. И даже если он предпримет меры к замене фотографии, это будет возможно благодаря тому, что у него на руках есть сам физический документ. С простым набором физических данных он ничего сделать не сможет», — уточняет Мартынов.

Он говорит о том, что на самом деле последствия или угроза распространения персональных данных являются преувеличенными.

«Бороться с нежелательными звонками или рассылками можно иным способом. Например, по типу ограничения коллекторских услуг. Либо если решать вопрос не правовым подходом, то можно с помощью уже существующих и действующих систем на основе искусственного интеллекта, которые просто блокируют нежелательные коммуникации. В любом случае вопрос решаем и не несет в себе той угрозы, в связи с которой предусмотрены административные штрафы», — резюмирует он.

Новые правила должны обеспечить более надежную систему безопасности данных пользователей. Для бизнеса — это возможность укрепить доверие клиентов, считают эксперты «Сферы». Компании, которые готовы адаптироваться и внедрять современные технологии защиты данных, окажутся в выигрышной позиции. Вопрос в том, насколько быстро бизнес сможет подстроиться под новые реалии.

Рекомендуем

Авторский взгляд

Национальный мессенджер и отдельное согласие на обработку данных: обзор нового закона

24 июня президент России Владимир Путин подписал закон о многофункциональном сервисе обмена информацией и изменениях в законодательство о персональных данных. Старший юрист Seven Hills Legal Наталия Спицына и стажер Seven Hills Legal Мария Воронкова проанализировали для «Сферы» наиболее интересные положения этого документа.

Статья

Минфин за прозрачность: что ожидает компании после раскрытия данных

Министерство финансов планирует повысить прозрачность государственной политики и регулирования рынка. Для этого потребуется внедрение новых правил раскрытия информации о компаниях, ранее находившихся в санкционных списках, но впоследствии исключенных из них. Вместе со «Сферой» эксперты обсудили потенциальные преимущества такого подхода и риски, с которыми могут столкнуться участники рынка.

Статья

Спорная инициатива: Роскомнадзор хочет ограничить сбор персональных данных 

Роскомнадзор хочет ввести обязательные стандарты работы с персональными данными. Инициатива направлена на дополнительную защиту личных данных граждан от утечек. Если изменения закрепят на законодательном уровне, компаниям разрешат собирать только необходимые сведения о россиянах. Насколько это удачная идея и поможет ли она уберечь клиентов от «утечек», рассказали эксперты.

Нужно хоть что-то написать