С 30 мая 2025 года в России вступают в силу изменения в законодательстве, вводящие новый механизм ответственности за утечки персональных данных — оборотные штрафы. Эти изменения внесены Федеральным законом от 30 ноября 2024 года № 420-ФЗ, который обновляет статью 13.11 Кодекса Российской Федерации об административных правонарушениях.
Теперь предусмотрены санкции, пропорциональные масштабу бизнеса: повторные инциденты могут обойтись штрафами до 3% от годовой выручки компании, но не менее 20 миллионов рублей.
Как сообщает советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян, необходимо учитывать новые риски, чтобы избежать штрафов. Согласно данным Роскомнадзора, в 2023 году зафиксировано более 1400 инцидентов с утечками персональных данных, что почти вдвое больше, чем в 2022 году. В результате утекали базы с паспортными данными, телефонами, медицинскими картами и данными банковских карт.
В резонансных случаях, таких как инциденты с «Гемотестом», в публичный доступ попадали сотни тысяч и даже миллионы записей.
Исследование компании Surfshark также показывает тревожную статистику: Россия попала в пятерку стран с наибольшим количеством утечек персональных данных за последние два года, а количество пострадавших аккаунтов превысило 100 миллионов. При этом, в случае многих инцидентов данные становились доступными в даркнете менее чем через сутки.
Введение оборотных штрафов является частью новой стратегии в области регулирования персональных данных, целью которой является создание стимулов для бизнеса повышать уровень информационной безопасности.
До недавнего времени максимальные штрафы за нарушения в области защиты персональных данных в России составляли лишь до 75 тысяч рублей, что не останавливает крупных игроков. В Европе, с вступлением в силу общего регламента по защите данных (GDPR) в 2018 году, сумма штрафов за нарушения правил обработки персональных данных превысила 4 миллиарда евро.
Крупные компании, такие как Amazon (€746 миллионов), WhatsApp (€225 миллионов) и Meta (€1,2 миллиарда в 2023 году), уже столкнулись с серьезными финансовыми последствиями. Европейская модель предполагает возможность наложения штрафов до 4% от годового оборота компании, что подтверждает ее эффективность.
В Соединенных Штатах, несмотря на отсутствие единого федерального законодательства в данной сфере, ответственность за утечку данных регулируется разнообразными отраслевыми и региональными нормами. Например, в Калифорнии действуют штрафы по закону CCPA, а Федеральная торговая комиссия (FTC) регулярно налагает многомиллионные санкции за утечки персональных данных. Это создает практику, при которой соблюдение стандартов кибербезопасности становится неотъемлемой частью бизнес-модели.
В России система штрафов на основе оборота пока применяется точечно, но ожидается ее активизация. Под особым риском оказываются многие компании, которые первыми могут столкнуться с санкциями. Судебная практика и первые проверки могут стать важным индикатором ситуации, к которой стоит подготовиться уже сейчас.
Рекомендуется провести аудит обработки персональных данных, фиксируя, какие данные собираются, на каком основании, где и как они хранятся, а также кому предоставляются. Это станет основой для соблюдения принципа минимизации данных и улучшения информационной безопасности. Также важно назначить ответственного за защиту персональных данных, чтобы обеспечить своевременное и эффективное реагирование на возможные инциденты.
Соблюдение юридических требований по защите персональных данных становится не только обязательным, но и важным элементом управления рисками для компаний. Часто отсутствие ответственных лиц и четко формализованных процедур приводит к инцидентам, связанным с утечкой данных.
Необходимость заключения договоров с подрядчиками, такими как IT-компании или колл-центры, становится необходимой, особенно когда речь идет о передаче обработки данных. Эти соглашения должны четко отражать условия обработки и хранения данных, что особенно важно для облачных решений.
Внутренние политики и регламенты требуют регулярного обновления. Политика конфиденциальности, пользовательские соглашения и процедуры реагирования на инциденты должны функционировать как рабочие инструменты, а не просто существовать для формальности. Обучение сотрудников — важная мера предосторожности, так как, согласно данным Positive Technologies, человеческий фактор приводит к 82% случаев утечек данных.
Регулярные тренинги и моделирование инцидентов помогают предотвратить будущие проблемы. Разработка эффективного плана реагирования на инциденты позволит быстро и слаженно действовать в случае утечки. Важные шаги включают уведомление регуляторов, локализацию ущерба и информирование пользователей.
Такие действия могут смягчить последствия инцидента и помочь избежать значительных штрафов. Актуальные штрафы являются не только следствием ужесточения законодательства, но и сигналом для бизнеса о необходимости соблюдения стандартов защиты данных, похожих на бухгалтерский учет и налоговую отчетность.
В условиях цифровой экономики игнорирование этих требований может обернуться существенными финансовыми потерями и подорвать доверие клиентов. Компании, которые справятся с этими вызовами и начнут действовать проактивно, получат преимущества не только в соблюдении нормативных актов, но и в восприятии на рынке.
