Законодатели продолжают ужесточать ответственность бизнеса за нарушения в работе с персональными данными. В декабре прошлого года были увеличены штрафы за незаконную обработку этих сведений, в этом году рассматриваются законопроекты, усиливающие административную и уголовную ответственность за утечку личных данных граждан. К чему готовиться компаниям, как строить работу в области информационной безопасности, чтобы избежать штрафов и юридических проблем?
Матвей Каргин, младший юрист в направлении интеллектуальной собственности юридической группы «Совет», Ижевск:
– В декабре 2023 года вступил в силу закон, увеличивающий штрафы за обработку персональных данных без письменного согласия лица или с нарушением требований к оформлению такого согласия. За нарушение штраф для компаний составляет 300–700 тыс. руб., при повторном нарушении – 1–1,5 млн рублей.
Уже в этом году Госдума в первом чтении рассмотрела проекты поправок в УК РФ и КоАП РФ, увеличивающие ответственность за утечку персональных данных. Законопроекты были поддержаны депутатами практически единогласно. Вероятно, изменения окажутся неизбежными – данные вопросы становятся всё более актуальными. Как указано в пояснительной записке к одному из законопроектов, на декабрь 2021 года в теневом сегменте Интернета циркулировали более 20 тыс. баз данных общим объёмом более 10 Тб, содержащие персональные данные о 80% населения России.
Сейчас за утечку персональных данных наказывают штрафами в размере 60–100 тыс. руб. за первое нарушение и 100–300 тыс. руб. за повторное. Если законопроект примут, штрафы будут значительно выше:
- За утечку персональных данных.
Штраф будет зависеть от размера «утекшей» базы данных:
– если база содержала данные 1–10 тыс. лиц, штраф будет составлять 3–5 млн руб.;
– если база содержала данные 10–100 тыс. лиц, штраф будет составлять 5–10 млн руб.;
– если база содержала данные более 100 тыс. лиц, штраф будет составлять 10–15 млн рублей.
При повторном нарушении штраф – 0,1–3% от размера выручки за год, но в пределах 15–500 млн рублей.
- За утечку базы данных со специальной категорией персональных данных. Размер штрафа не зависит от размера базы данных и будет составлять 10–15 млн рублей.
- За отсутствие уведомления Роскомнадзора об утечке персональных данных. Штраф – 1–3 млн рублей.
- За отсутствие уведомления Роскомнадзора о намерении обрабатывать персональные данные. Штраф – 100–300 тыс. рублей.
Для снижения рисков утечки данных компаниям необходимо принять ряд технических и организационных мер.
Правовой аспект защиты персональных сведений состоит в регламентации работы с ними – регламентировать необходимо взаимоотношения с сотрудниками, клиентами и партнёрами. Для этого рекомендуется разработать политику конфиденциальности, внутренние приказы и правила по работе с персональными данными для работников. Сократить вероятность утечек поможет заключение соглашений о неразглашении и включение в договоры с контрагентами условий о конфиденциальности.
Виктория Коржиновская, руководитель юридического отдела ГК Selecty, Москва:
– Законопроект предполагает не только введение больших штрафов, но и такую ответственность, как лишение свободы на срок до десяти лет за незаконные сбор или использование персональных данных.
Принятие документа, по мнению его авторов, позволит «эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных». С одной стороны, инициаторы руководствуются благими намерениями. С другой – есть вопросы к формулировкам, которые они используют. Текущую версию законопроекта можно трактовать слишком широко, это может привести к случаям, когда люди, не имеющие умысла нарушить закон, например, не намеревавшиеся взламывать или продавать базы данных, могут получить реальный срок.
Жёсткое регулирование может также привести, допустим, к проблемам с активным развитием искусственного интеллекта. Компаниям придётся нести всё новые издержки, замедлять рабочие процессы, а это затормозит их рост. Обидно будет за тех, кто работает легально, – они легко смогут попасть «под раздачу», в то время как настоящие нарушители останутся без наказания в тени.
Мы считаем, что бизнесу необходимо активно участвовать в обсуждении всех законодательных инициатив, касающихся вопросов сохранности персональных данных, работы с информацией.
Также компаниям нужно заниматься не «бумажной безопасностью», а на практике реализовывать проекты по кибербезу. Внимательное отношение к работе с информацией должно стать одной из корпоративных ценностей бизнеса.
Татьяна Кархалева, адвокат, партнёр, управляющий IP и IT практикой адвокатского бюро RBL, партнёра международной юридической компании GRATA International, Самара:
– Как адвокат, сопровождающий онлайн и ИТ-бизнес, регулярно отвечаю на вопросы доверителей по легализации оборота персональных данных и возможные штрафы. При этом наблюдаю, что малый и средний бизнес практически не ориентируется в требованиях законодательства о защите персональных данных. Это вызвано, прежде всего, тем, что само законодательство – довольно запутанное и сложное для восприятия, вызывает множество вопросов даже у профессиональных юристов. При этом ответственность за нарушения, даже формальные, выливается для юридических лиц в сотни тысяч рублей.
Тенденцию к ужесточению штрафов расцениваю как негативную, усложняющую бизнес-процессы. Да, безусловно, бизнес должен заботиться о том, чтобы данные клиентов и сотрудников не утекали в свободный доступ, но я бы хотела видеть разъяснительную работу органов власти о том, как это организовывать. Пока это нагрузка на плечах юридических консультантов.
Многие предприниматели работают онлайн, продают товар через свои сайты или работают как агрегаторы товаров и услуг. На этих площадках собираются персональные данные, и очень важно их правильно обрабатывать.
Таким бизнесам предлагаю пройти процедуру аудита сайта, полный чек-лист состоит из 20 пунктов и начинается с блока по персональным данным.
Задача предпринимателя – ответить «да» или «нет». Отсутствие даже одного правильного ответа означает, что грозят штрафы от проверяющих органов.
Если вы проверили себя по чек-листу и поняли – что-то не так – закладывайте в бюджет от 300 тысяч на штрафы от Роскомнадзора.
И вот цифры по штрафам за нарушения:
|
Пункты с нарушениями |
Виды ответственности |
Размеры штрафов |
|
№1, №2, №5 |
для граждан |
от 1,5 до 3 тыс. руб. |
|
для должностных лиц |
от 6 до 12 тыс. руб. |
|
|
для ИП |
от 10 до 20 тыс. руб. |
|
|
для ЮЛ |
от 30 до 60 тыс. руб. |
|
|
№3 |
для граждан |
от 30 до 50 тыс. руб. |
|
для должностных лиц |
от 100 до 200 тыс. руб. |
|
|
для ЮЛ |
от 1 до 6 млн руб. |
|
|
№4 (нет согласия/нарушение требований к составу сведений, включаемых в согласие) |
для граждан |
от 10 до 15 тыс. руб. |
|
для должностных лиц |
от 100 до 300 тыс. руб. |
|
|
для ЮЛ |
от 300 до 700 тыс. руб. |
|
|
№6 |
для граждан |
от 100 до 300 руб. |
|
для должностных лиц |
от 300 до 500 руб. |
|
|
для ЮЛ |
от 3 до 5 тыс. руб. |
Максим Оганов, бизнес-консультант, автор проекта Oganov.Сonsulting, Санкт-Петербург:
– В 2024 году вопросы ответственности бизнеса за утечку персональных данных становятся ещё острее. Можно дать следующие рекомендации тем компаниям, которые работают добросовестно, хотят избежать юридических проблем и утраты доверия со стороны клиентов.
Необходимо на постоянной основе обновлять программное обеспечение и системы безопасности – чтобы не было слабых мест, которые зачастую используют злоумышленники.
Важно обучить персонал базовым принципам безопасности данных. Социальная инженерия и неправильное обращение с информацией нередко становятся причиной утечек.
Кроме того, рекомендуется придерживаться международных и отраслевых стандартов безопасности, таких как GDPR, чтобы обеспечить соответствие законам о защите данных. И рассмотреть возможность страхования от утечек – это может помочь минимизировать финансовые потери в случае инцидента.
Каким должен быть алгоритм действий, если инцидент всё-таки произошёл? Здесь главный принцип – быстрое информирование. При утечке немедленно информируйте клиентов и соответствующие регулирующие органы.
Не стоит забывать о профилактических мерах, таких как аудит безопасности. Регулярные аудиты помогают выявлять потенциальные проблемы и устранить их до наступления возможных форс-мажоров.
Безусловно, стоит активно сотрудничать с профессионалами в области безопасности – внутренними экспертами компании или с внешними специалистами для постоянного мониторинга и защиты от угроз. И, конечно, работа должна осуществляться в союзе с опытными юристами, помогающими вести работу в соответствии с законодательством о защите данных.
Екатерина Старостина, директор по развитию бизнеса Вебмониторэкс, Москва:
— На мой взгляд, законопроект, предполагающий большие штрафы и лишение свободы за утечку персональных сведений, – важный шаг в развитии политики кибербезопасности. Он направлен на защиту прав и интересов граждан, а также на поощрение компаний к более ответственному отношению к обработке и хранению персональных данных. В целом законопроект способствует созданию в стране более надёжной среды для обработки конфиденциальной информации.
Для снижения рисков утечки бизнесам следует принимать комплекс мер. Помимо регулярного обучения сотрудников, организации аудиторских проверок систем безопасности, необходимо использовать современные технологии для защиты, такие как шифрование, двухфакторная аутентификация, мониторинг доступа к информации.
В компании должна быть разработана чёткая процедура реагирования на ситуации, связанные с утечками, включающая быстрое информирование органов по защите данных и пострадавших лиц.
Также бизнесу рекомендуется сотрудничать с профессиональными консультантами по вопросам безопасности данных для оценки уязвимостей и разработки стратегии защиты, регулярно проводить проверки сторонних поставщиков услуг на предмет соответствия стандартам безопасности.
Олег Николаев, Управляющий партнёр, руководитель практики публичного права Юридического бюро «Правовые стратегии», Уфа:
— Бизнесу неизбежно придётся увеличить расходы на организационные и технические меры обеспечения безопасности персональных данных – любой информации, прямо или косвенно относящейся к физическому лицу и позволяющая его определить.
В обязательном порядке нужно провести инвентаризацию действующей в организации нормативной базы, касающейся работы с персональными сведениями, при её отсутствии – разработать. То есть нужно определить объём и категории обрабатываемых перссведений, установить порядок и условия их обработки, правила доступа к ним и очертить круг сотрудников, имеющих допуск к такой информации.
Наряду с поправками, увеличивающими размеры штрафов за утечки, депутаты предлагают также ввести уголовную ответственность за незаконные использование (передачу, распространение, предоставление, доступ, сбор, хранение) компьютерной информации, содержащей персональные данные. Эти изменения в меньшей степени затронут бизнес: ответственность за преступление будет нести конкретное физическое лицо, его совершившее. Однако новшества подчёркивают задаваемый тренд на ужесточение ответственности за нарушения законодательства в области персональных данных.
Аудит сайта
Чек-лист
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
1. Подано уведомление в Роскомнадзор о начале обработки персональных данных
2. Есть политика обработки персональных данных или политика конфиденциальности, написанная после 01.03.2023
3. Политика размещена на всех страницах, где происходит сбор персональных данных
4. В политике отражены cookies, которые собираются на сайте, или есть баннер об этом
5. Во всех формах регистрации и обратной связи есть ссылки на согласие на обработку персональных данных и на политику
6. Галочка в чек-боксе на согласие не предустановлена
СОДЕРЖИМОЕ САЙТА
7. Договор (оферта), по которому происходит продажа товаров или услуг, соответствует закону, в том числе отражены:
— сведения о продавце
— порядок заказа и оплаты
— порядок и способы доставки
— ограничение случаев возврата товара надлежащего качества
— экспертиза при возврате товаров ненадлежащего качества
8. На сайте нет надписей типа «Мы – номер 1» или «Наши товары и услуги лучшие», которые не подкреплены авторитетными доказательствами
9. Реклама на сайте промаркирована, даже если это реклама собственных товаров и услуг
10. Реклама достоверная, то есть не обещает пользователю невозможного, а компания готова всё выполнить на 100%
11. Размещены лицензии, если деятельность подлежит лицензированию
12. Есть функционал для пользователей с ограниченными возможностями (обязательно только для некоторых, но желательно для всех)
13. Если на сайте применяются рекомендательные технологии, то есть уведомление об этом
АДМИНИСТРАТИВНЫЙ ФУНКЦИОНАЛ
14. Доменное имя сайта оформлено на ЮЛ или ИП, которое на сайте представлено, не на физическое лицо – директора, учредителя или работника 15. Есть доступы в личный кабинет регистратора доменного имени и хостинг-провайдера 16. Есть доступ к учётной записи администратора сайта
ИНТЕЛЛЕКТУАЛЬНАЯ СОБСТВЕННОСТЬ
17. Доменное имя сайта не нарушает чужой товарный знак
18. Есть договор(-ы) с разработчиками сайта, по результатам исполнения которых они передали исключительные права на сайт как на программу
19. Есть договор(-ы) с дизайнерами и фотографами, чьи фотографии размещены на сайте, и ими предусмотрено, что передаются исключительные права на фото, в том числе для использования в коммерческой деятельности
20. Если использованы фото с фотостока, то лицензия на них предусматривает их использование для коммерческой деятельности без указания автора
21. Если на сайте есть фото людей, не скачанные с фотостока, то есть их письменное разрешение на использование их изображений
Информация чек-листа предоставлена нашим экспертом — адвокатом Татьяной Кархалёвой
