Статьи - главная страница

Взяли «в оборот»: усиление ответственности за утечки персональных данных

Персональные данные Цифровые технологии
26 ноября 2024 года во втором и третьем чтении Государственной Думой был принят законопроект, усиливающий ответственность за утечку персональных данных, в том числе в области обработки биометрических персональных данных, и вводящий оборотные штрафы. Изменения вступят в силу в 2025 году
В соответствии с Законом № 152-ФЗ «О персональных данных», персональные данные – это любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Любая обработка персональных данных, будь то сбор, хранение, использование, накопление, передача и т.п. по общему правилу возможна с согласия субъекта персональных данных, а в отдельных случаях такое согласие должно быть получено в письменной форме. Понятие каждой операции раскрыто в ст. 3 Закона № 152-ФЗ

К персональным данным относится, например, информация о фамилии, имени, отчестве лица, о его месте жительства или работы, сведения о вкладах в банках, состоянии здоровья и т.п. Биометрические персональные данные — информация о физиологических и биологических особенностях человека, позволяющая идентифицировать личность. К ним можно отнести отпечатки пальцев, фотографии, образцы голоса, если их использование позволяет определить лицо, которому они принадлежат

Особенно стоит отметить, что персональные данные могут собираться и использоваться в определенных целях. Чаще всего цель использования персональных данных определяется направлением деятельности организации. Если обработка персональных данных несовместима с целями их сбора – компании грозит штраф за нарушение законодательства о персональных данных

Оператор персональных данных – это любой субъект, получивший доступ к персональным данным. Контроль и надзор за их деятельностью осуществляет Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор)

Последствия утечек персональных данных могут затронуть как пользователей, так и бизнес, поскольку персональные данные могут стать инструментом не только мошеннических схем, но и повлечь существенные убытки, в том числе репутационные потери

Согласно пояснительной записке к принятому законопроекту, «введение более суровых мер административного наказания обусловлено целью формирования в Российской Федерации комплексного механизма по предотвращению правонарушений в сфере персональных данных». Действительно, исходя из отчета, представленного Positive Technologies, Россия возглавляет рейтинг стран по количеству объявлений о продаже баз данных. На российские компании приходится около 10 % от их общего количества за первое полугодие 2024 года
Обратите внимание
Согласно сведениям Роскомнадзора, если за 2023 год было внесено 1848 записей в реестр операторов, осуществляющих обработку персональных данных, то уже за первое полугодие 2024 года их количество увеличилось почти на 30 % и составляет 2395 записей. В России насчитывается около миллиона операторов по обработке персональных данных и почти 3 миллиона действующих юридических лиц по данным ФНС, а это означает, что нововведения коснутся каждой третьей компании
Новый законопроект предусматривает ответственность не только за неправомерную утечку персональных данных, но и за непринятие мер по обеспечению безопасности биометрических персональных данных при их обработке, штраф для компаний может достигать 15 млн. руб. Соответствующие изменения внесены в статью 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ)

За повторное нарушение грозят оборотные штрафы. Оборотный штраф – это взыскание, которое рассчитывается в зависимости от выручки компании. Так, согласно новому законопроекту, штраф может достигать от 1 до 3 % выручки за календарный год или за часть текущего года, но не менее 20 млн. и не более 500 млн. рублей

При этом стоит отметить, что размер штрафа зависит как от количества и объема ставшими общедоступными персональных данных, так и от их вида, например, за утечку медицинской информации ответственность намного строже
Обратите внимание
Размер штрафа возможно снизить, например, если отсутствуют отягчающие обстоятельства, а ежегодные расходы на обеспечение информационной безопасности составляют не менее 1 % годовой выручки
Построение прозрачной системы работы с персональными данными является неотъемлемой частью профессионального управления компанией. Оператор по обработке персональных данных обязан применять организационные и технические меры, необходимые для выполнения требований законодательства о защите персональных данных

Оборотные штрафы, с одной стороны, являются эффективным инструментом для стимулирования компаний к внедрению различных средств защиты персональных данных, инвестированию в сферу информационной безопасности, с другой стороны, многомиллионные штрафы могут быть неподъемными. Борьба с киберпреступностью требует комплексного подхода, поэтому нужно предпринимать все необходимые меры для того, чтобы максимально снизить риски. Как же себя обезопасить?
Краткий чек-лист:
  1. Пройти регистрацию в качестве оператора персональных данных в Роскомнадзоре, предоставлять запрашиваемые сведения по запросу
  2. Анализировать риски безопасности персональных данных при их обработке: хранить и защищать персональные данные в соответствии с законом, обеспечивать их тайну, не передавать третьим лицам
  3. Отвечать на запросы субъектов персональных данных и оперативно предоставлять им всю необходимую информацию
  4. Хранить и собирать персональные данные в четко установленные сроки, обусловленные целью их использования, назначать ответственное лицо за работу с персональными данными, обучать сотрудников безопасным правилам обработки данных
  5. Обеспечивать безопасность мест хранения и обработки персональных данных, будь то введение пропускного режима, оборудования специальных мест для хранения носителей данных, своевременно актуализировать, уничтожать персональные данные по требованию субъектов или по достижении цели их сбора
Особое внимание стоит уделить документации, определяющей политику в отношении обработки персональных данных, а также локальным актам, устанавливающим процедуры, направленные на предотвращение и выявление соответствующих нарушений. Так, положение по обработке персональных данных (политика в отношении обработки персональных данных) обязательно должно содержать все необходимые сведения, регламентирующие правила обработки, хранения, осуществления иных операций с персональными данными, а также цели и задачи фирмы при работе с ними

Положение о персональных данных необходимо заверить руководителю (генеральному директору) компании. С документом в обязательном порядке обязаны ознакомиться все сотрудники, осуществляющие обработку персональных данных, под расписку

Введение оборотных штрафов за утечки персональных данных в 2024 г. – серьезный шаг к усилению ответственности, а также к повышению внимания компаний по защите информации. В условиях постоянных кибероугроз, подобные инициативы становятся критически важными. Инвестиции в защиту данных становятся не просто желательными, а обязательными в целях предотвращения финансовых и репутационных потерь. Теперь компаниям точно стоит пересмотреть свою политику в отношении обеспечения безопасности данных и выделить на это дополнительные ресурсы
Мы будем рады ответить на любые ваши вопросы по обработке персональных данных, снижению рисков штрафов и взаимодействию с Роскомнадзором

Тел. +7 499 990-72-35

Электронная почта: abp@abp.legal