Осторожно, данные: как бизнесу не попасть под штрафы после обновления закона
С конца мая 2025 года в России по закону о персональных данных будут введены оборотные штрафы для компаний за повторные утечки таких данных. Если раньше максимальный штраф для компаний составлял 18 млн рублей, то уже этим летом компании могут столкнуться с санкциями до 500 млн рублей. Таким образом, максимальный размер штрафов вырос в 27 раз. Кроме того, с конца 2023 года компании уже вынуждены платить до 700 000 рублей за одно неправильно заполненное согласие на обработку данных работника. В декабре 2024 года была введена и отдельная статья в Уголовном кодексе, посвященная ответственности за нарушение 152-ФЗ «О персональных данных».
Важно понимать, что персональные данные — это любые сведения, которые прямо или косвенно могут идентифицировать человека. Это не обязательно полные ФИО и паспортные данные. К ним могут также относиться номер телефона, адрес электронной почты, история заказов, фотография, стаж, опыт работы, состояние здоровья и т.п.
Любой бизнес обрабатывает большой объем информации — данные своих работников, соискателей, уволенных работников, их близких родственников, информацию о контрагентах и их представителях, данные посетителей сайта и т.п. Поэтому произошедшие в законодательстве изменения равным образом касаются компании любого размера и из любого сектора экономики.
Корректно оформляем документы
У каждой компании должны быть локальные акты, которые определяют правила и условия обработки данных внутри организации. Кроме того, компания должна подписать со своими работниками согласие на обработку персональной информации.
Важно, что с 2022 года по-новому нужно формулировать условия локальных актов и форм согласий. Для каждой отдельной цели теперь требуется указывать исчерпывающий перечень сведений, который обрабатывается, условия и сроки такой обработки. Поэтому указывать все цели вперемешку через запятую уже не получится — это будет считаться нарушением.
Если компания не собрала с работника согласие на обработку его данных либо если такое согласие неконкретное, за такие нарушения Роскомнадзор может начислить штраф до 700 000 рублей, причем он может начислить один штраф за все выявленные нарушения, а может — за каждое нарушение по отдельности. Например, с десятью работниками не были подписаны согласия на обработку их данных и нет единого подхода, как считать штраф в такой ситуации: это может быть как 700 000, так и 7 млн рублей.
Если компания в течение года допустит нарушение во второй раз, придется заплатить уже до 1,5 млн рублей. Именно такие нарушения и перемножение штрафов — главная опасность бизнеса, а не оборотные штрафы за утечки.
Проверяем работу онлайн-ресурсов
При проведении полномасштабной проверки Роскомнадзор в первую очередь будет выявлять нарушения в интернет-ресурсах компании. Например, на каждой странице сайта должна быть гиперссылка на политику конфиденциальности. Это документ, который описывает, какая информация собирается на сайте, для каких целей и т. п. Если не разместить политику, придется заплатить штраф до 60 000 рублей.
Кроме того, если у вас есть форма обратной связи или личный кабинет, обязательно сделайте чек-бокс, где пользователь должен поставить галочку, согласившись на обработку его персональной информации. В противном случае это может привести к штрафу до 300 000 рублей за первое нарушение и до 500 000 рублей — за повторное.
С 1 июля компаниям будет запрещено при сборе данных россиян передавать их за рубеж. Поэтому следует изучить, какие программы подключены к вашему сайту. Например, если вы используете «Google Аналитику» или другие иностранные сервисы для анализа поведения пользователей на сайте, это может быть проблемой, потому что это может быть расценено как трансграничная передача данных в государства, которые не обеспечивают адекватную защиту персональных данных (США и др.). Поэтому такие программы стоит просто отключить. В противном случае может быть наложен штраф до 700 000 рублей, а за повторное нарушение — до 1,5 млн рублей.
Однако это не означает, что компании вовсе не смогут отправлять данные иностранным контрагентам. Просто за рубеж можно будет передавать не свежие, только что собранные, данные, а лишь ту информацию, которую бизнес получил в результате их последующей обработки. Если компания нарушит этот алгоритм, ей придется заплатить штраф до 6 млн рублей на первый раз, а в случае рецидива — уже до 18 млн рублей.
Встаем на учет
С 2022 года все компании должны подать уведомление в Роскомнадзор, чтобы зарегистрироваться в реестре операторов персональных данных. Единственное исключение — если компания работает исключительно «на бумаге». Наличие хотя бы одного компьютера автоматически означает, что нужно подавать уведомление о включении в реестр. Если Роскомнадзор заметит, что компания не включена в реестр, уже летом придется заплатить штраф до 300 000 рублей, что может повлечь проведение полноценной проверки. Сейчас в реестре операторов персональных данных Роскомнадзора содержатся сведения о более 950 000 операторов данных.
Кроме того, с 2022 года нужно заполнять уведомление по-новому. Как и в случае с политиками и согласиями, для каждой цели необходимо указывать объем сведений, который обрабатывается, категории обрабатываемой информации, виды субъектов данных, чьи данные обрабатываются, и т. п. Если неправильно заполнить уведомление либо не поддерживать его в актуальном состоянии — тоже придется заплатить штраф до 300 000 рублей. Поэтому подавать уведомление наобум не стоит, его нужно заполнять по результатам анализа всей операционной деятельности компании с точки зрения обработки персональных данных.
Защищаемся от утечек
Закон не требует, чтобы компания тратила много денег на информационную безопасность. Но это все равно надо делать, потому что так бизнес снизит риск утечек персональных данных. Достаточно установить антивирусы, файрволлы и другие аналогичные инструменты. Лучше покупать средства, которые сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК). Это будет смягчающим обстоятельством, если утечка все-таки произойдет.
Штрафовать за утечку будут по-разному. Это зависит от ее объема и того, какие сведения утекли. Например, утечка обычных персональных данных (ФИО, паспортные данные, телефон, email) будет наказываться штрафом от 3 до 5 млн рублей, если утекли сведения от 1000 людей либо от 10 000 идентификаторов. Идентификатор — это фрагмент информации, который сам по себе не позволяет определить человека, но вместе с дополнительными фрагментами может это сделать. Так называемый оборотный штраф (от 1% до 3% от выручки компании за год) может быть начислен лишь за повторную утечку.
Если же в сеть попали сведения о менее чем 1000 людей / менее 10 000 идентификаторов, миллионный штраф не назначат.
Однако совершенно другая ситуация будет, если утекут специальные категории данных — биометрия, сведения о здоровье и др. Там ответственность в виде штрафов от 10 до 20 млн рублей наступит даже за минимальную утечку. Причем каждая компания вне зависимости от размера обрабатывает специальные данные — сведения о здоровье своих работников (состояние инвалидности, листок нетрудоспособности, результаты медосмотра водителей и др.).
Привлекаем аудиторов
Чтобы не платить многомиллионные штрафы, нужно уже сейчас сделать чекап компании на предмет соблюдения требований закона. Это можно организовать в рамках внутренней проверки, однако эффективнее будет привлечь внешних экспертов, которые специализируются на защите персональных данных. Они смогут провести полноценный независимый аудит компании на предмет соблюдения требований законодательства.
По результатам такого аудита можно будет оперативно устранить выявленные нарушения — разработать новые политики, утвердить формы согласия на обработку данных, адаптировать работу сайта и подать уведомление в Роскомнадзор. С учетом того, что до введения новых штрафов остается чуть больше месяца, у бизнеса еще есть немного времени для приведения своих процессов в соответствие с требованиями законодательства.
Мнение редакции может не совпадать с точкой зрения автора