08 мая 2025

Строже за личное: почему бизнесу пора проверить свои процессы обработки данных

Дарья Куклина Автор

Персональные данные — новая валюта. Их ценность растет, а обеспечить безопасность данных все сложнее. Мы делимся личной информацией везде: в соцсетях, при приеме на работу, делая покупки в магазинах или интернете, оформляя карты лояльности и подписки и т. д. В последние годы утечки стали более частыми и масштабными, что отражается и на законодательстве — оно ужесточается. С 30 мая вступают в силу новые правила, которые усилят ответственность компаний за нарушение защиты информации. Это станет серьезным стимулом для бизнеса вложиться в информбезопасность, чтобы избежать штрафов и репутационных потерь. О том, что изменится для бизнеса и на что ему следует обратить особое внимание, размышляет юрист фирмы «Косенков и Суворов» Дарья Куклина

30 мая вступят в силу принятые еще в ноябре изменения в Кодекс об административных правонарушениях, значительно ужесточающие ответственность за нарушение закона «О персональных данных». Исходя из пояснительной записки, разработчики законопроекта рассчитывают, что новый подход к ответственности за нарушения будет стимулировать компании больше инвестировать в информбезопасность, что, в свою очередь, поможет предупреждать утечки данных.

Ужесточение санкций стало следствием существующей до настоящего момента несоразмерности последствий утечек данных и максимальных штрафов в 100 000 рублей за впервые совершенные нарушения. Это вполне понятно — небезопасное хранение и распространение персональных данных становится причиной спам-звонков, рекламных рассылок и мошеннических схем, а маленькие суммы штрафов не мотивировали операторов уделять больше внимания защите информации. При этом идея взыскания значительных по сумме штрафов за нарушения в сфере персональных данных не является придумкой отечественного законодателя и распространена в иностранных правопорядках, где уже известны случаи привлечения крупных компаний к ответственности, исчисляемой в миллионах.

Материал по теме

Нововведения в сфере ответственности можно мысленно разделить на блоки:

повышение санкций по общим, ранее существовавшим составам;

появление ответственности за неуведомление Роскомнадзора в случаях, когда это требуется по закону;

штрафы за утечки данных (самый масштабный и пугающий для бизнеса раздел).

В общем и целом

Первое из нововведений — повышение ответственности по частям 1 и 1.1 статьи 13.11 КоАП. Новая редакция норм приведет к тому, что любая обработка данных с нарушением закона (например, без согласия, в излишнем объеме или в целях, не соответствующих целям сбора) может повлечь как минимум 150 000 рублей штрафа, а максимальная ответственность за повторное нарушение может достигать 500 000 рублей. Новый штраф может стать достаточно заметным не только в силу его размера, но и потому, что до настоящего момента часть 1 статьи 13.11 КоАП — самый популярный состав за нарушения в сфере персональных данных. Норма является общей и применяется чаще других — всегда, когда закон нарушен, а специальные санкции не предусмотрены.

К общему повышению ответственности также можно отнести уже вступившее в силу изменение санкций за обработку данных без согласия в письменной форме, если такая форма является обязательной, например, при передаче данных работников третьим лицам или в случаях обработки специальных, наиболее чувствительных категорий данных (состояние здоровья, биометрические данные и др.). В случае выявления факта обработки данных без соответствующего всем требованиям письменного согласия компании может грозить штраф в размере до 700 000 рублей, а при повторном нарушении — взыскание 1,5 млн рублей.

Без извещений

Другой значимый вопрос — появление ответственности за неуведомление Роскомнадзора о начале обработки данных. С 1 сентября 2022 года такое уведомление в контролирующий орган обязаны направлять практически все операторы, однако на практике правилу следовали далеко не многие. Теперь за неподачу уведомления будет грозить штраф в размере до 300 000 рублей.

Материал по теме

Пока непонятно, будет ли новый штраф распространяться на случаи неподачи уведомления о трансграничной передаче данных, из буквального толкования нормы возможность такого применения закона не следует. Тем не менее хочется рекомендовать бизнесу проверить свои процессы на передачу данных за рубеж (например, если у компании есть партнеры в другой юрисдикции или сбор аналитики на сайте осуществляется с использованием иностранных сервисов) и при необходимости уведомить об этом Роскомнадзор.

Течет ручей, бежит ручей

Наибольшее внимание бизнеса и юристов привлекает включенная в КоАП ответственность за утечки данных. По новым правилам, если организация не уведомляет Роскомнадзор о произошедшей утечке, возможен штраф от 1 до 3 млн рублей. А в случае, если утечка стала возможна в результате действия или бездействия компании, то на компанию может быть наложен многомиллионный штраф, точный размер которого зависит от объема и категорий разглашенных данных.

Так, организации грозит штраф от 3 до 5 млн рублей, если утекли сведения от 1000 людей либо от 10 000 идентификаторов. А если, например, от более чем 100 000 субъектов или 1 млн идентификаторов — то 10–15 млн рублей. При этом пока непонятно, какие из данных могут быть отнесены к идентификаторам. КоАП устанавливает, что это уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу. Но существует неопределенность в отношении того, как определить уникальность сведений и что на практике будет признаваться идентификаторами (ID номера в системе оператора или также номер паспорта, номер телефона и т. д.). Практическое решение такого вопроса будет напрямую влиять на размер санкций.

Материал по теме

Вишенкой на торте является введение оборотных штрафов, дискуссия о существовании которых велась уже давно. Теперь, если оператор допустит повторную утечку данных в течение года со дня уплаты административного штрафа за первоначальное нарушение, на него может быть наложен оборотный штраф от 1% до 3% от совокупного размера выручки компании за год.

Telegram-канал Forbes.Russia

Канал о бизнесе, финансах, экономике и стиле жизни

Проверка на прочность

Таким образом, думается, что сейчас лучшее время для проверки существующих процессов обработки данных.

Нововведения в равной степени касаются всех компаний, однако степень рисков для бизнеса напрямую зависит от специфики его деятельности и объема обрабатываемых данных. Наибольшая зона внимания — у компаний, работающих с большими пользовательскими базами: интернет-магазинов, маркетплейсов, банков, страховых компаний, ретейла и сервисов онлайн-записи или доставки. В зоне риска также оказываются стартапы и IT-компании, использующие облачные решения или зарубежные сервисы аналитики — часто такие проекты не всегда корректно оформляют процессы передачи данных за рубеж и могут не уведомлять об этом Роскомнадзор. Не стоит забывать и о классическом офлайн-бизнесе: фитнес-клубы, медицинские центры, отели и рестораны также обрабатывают персональные данные клиентов, а значит, обязаны соблюдать требования закона и быть готовыми к проверкам.

Важно понимать, что чаще всего причиной привлечения внимания Роскомнадзора к конкретной компании становятся допущенные вовне явные неточности в процессах защиты данных:

отсутствие или устаревшая политика обработки персональных данных на сайте компании;

сбор данных на сайте без получения активного, выраженного в действиях, согласия пользователя;

обработка персональных данных без достаточных оснований или в избыточном объеме — например, запрос паспортных данных там, где это не требуется;

передача персональных данных подрядчикам без оформления поручения на обработку данных.

Чтобы привести деятельность в соответствие с минимальными требованиями закона, не нужно слишком много сил, но это стоит того. Ведь, когда последствия становятся значительными, превентивные меры точно не будут лишними.

Мнение редакции может не совпадать с точкой зрения автора

Материал по теме