Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Последние изменения в законодательстве демонстрируют существенное ужесточение требований к операторам и усиление мер ответственности за нарушения. Одно из важных изменений — за некоторые нарушения ИП будут нести такую же ответственность, как и юрлица. Разбираемся, к чему готовиться бизнесу в новых реалиях.
Персональные данные и современные вызовы
Статистика последних лет вызывает серьезную озабоченность вопросами, связанными с обработкой персональных данных (ПДн). По данным Роскомнадзора, только за 2023 год количество зафиксированных утечек этого вида информации увеличилось более чем на 37% по сравнению с предыдущим периодом. В результате в открытый доступ попало более 300 млн записей, не предназначенных для свободного использования. Особую тревогу вызывает качественное изменение характера нарушений: если ранее основную массу инцидентов составляли случайные утечки, то с недавних пор в этой сфере преобладают целенаправленные хакерские атаки и сложные мошеннические схемы.
Одной из наиболее уязвимых отраслей остается финансовый сектор — на его долю приходится около 45% всех зарегистрированных нарушений. Кроме того, эксперты отмечают тревожную тенденцию роста числа инцидентов в образовательной сфере и медицине, где обработку проходят особо уязвимые категории ПДн.
Утечка ПДн — опасная ситуация. Она открывает широкие возможности для злоумышленников, которые используют полученную информацию в преступных схемах. Это и фишинговые атаки, и оформление кредитов на чужое имя, и шантаж, основанный на доступе к личной переписке или компрометирующим материалам. Особую опасность представляют утечки медицинских данных, которые могут использоваться для целевого мошенничества в отношении уязвимых групп населения. Кроме того, массивы ПДн часто продаются на теневых форумах, формируя масштабную индустрию киберпреступности. Все это подчеркивает критическую важность надежной защиты ПДн как для обычных пользователей, так и для бизнеса.
Защитите бизнес от утечек и взломов с комплексом услуг по кибербезопасности от Контура
Законодательная революция в области защиты ПДн
Ответом на вызовы стало существенное ужесточение регулирования. Недавние поправки в законодательство кардинально меняют подход к защите ПДн.
Введение уголовной ответственности
Федеральный закон от 30.11.2024 № 421-ФЗ, вступивший в силу в конце 2024 года, вводит для нарушителей ответственность уголовного характера.
| Нарушение | Ответственность |
|---|---|
| Незаконное использование, передача, сбор и хранение компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем |
Согласно ч. 1 ст. 272.1 УК РФ:
|
| Аналогичные деяния в отношении информации, которая содержит ПДн несовершеннолетних лиц, специальные категории ПДн или биометрические ПДн |
Согласно ч. 2 ст. 272.1 УК РФ:
|
| Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения |
Согласно ч. 3 ст. 272.1 УК РФ:
|
| Деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей ПДн, или трансграничным перемещением носителей информации, содержащих ПДн |
Согласно ч. 4 ст. 272.1 УК РФ: лишение свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового. |
| Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой |
Согласно ч. 5 ст. 272.1 УК РФ: лишение свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового. |
| Создание или обеспечение работы сайта в интернете (страницы сайта), информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн, полученной незаконным путем |
Согласно ч. 6 ст. 272.1 УК РФ:
|
Ужесточение административной ответственности за нарушения в сфере ПДн
С 30 мая 2025 года начнет действовать Федеральный закон от 30.11.2024 № 420-ФЗ, ужесточающий административную ответственность за нарушения в сфере ПДн.
Штрафные санкции за нарушения выросли в разы. К примеру, максимальное финансовое наказание за незаконную обработку ПДн для юридических лиц при повторном нарушении достигает 500 000 руб., что превышает прежние штрафные пределы более, чем в 1,5 раза. Для должностных лиц верхняя планка санкций возросла в 4 раза, до 200 000 руб.
| Нарушение | Ответственность |
|---|---|
| Обработка ПДн в случаях, не предусмотренных законодательством, либо обработку ПДн, несовместимую с целями их сбора (исключение — случаи, предусмотренные ч. 2, 11 — 18 ст. 13.11 КоАП РФ и ст. 17.13 КоАП РФ) |
Согласно ч. 1 ст. 13.11 КоАП РФ установлены штрафы в размере:
|
| Повторное совершение вышеуказанного административного правонарушения |
Согласно ч. 1.1 ст. 13.11 КоАП РФ установлены штрафы:
|
Расширение перечня нарушений, за которые оператор привлекается к административной ответственности
Это одно из ключевых изменений. Так, с 30 мая текущего года операторы ПДн несут ответственность за несвоевременное уведомление Роскомнадзора о фактах утечки ПДн. Если уведомление было предоставлено позднее, чем через 24 часа, оператору грозит штраф от 50 000 до 3 млн руб.
Также введены штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку ПДн и за действия оператора, повлекшие неправомерное распространение ПДн.
| Нарушение | Ответственность |
|---|---|
| Невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку ПДн |
Согласно ч. 10 ст. 13.11 КоАП РФ установлены штрафы:
|
| Нарушение, описанное выше, сопровождается неправомерной или случайной передачей ПДн, повлекшей нарушение прав субъектов таких данных |
Согласно ч. 11 ст. 13.11 КоАП РФ установлены штрафы:
|
| Действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей ПДн от 1000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов⃰ |
Согласно ч. 12 ст. 13.11 КоАП РФ предусмотрен штраф:
|
| Неправомерная передача информации затронула персональные данные от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 млн идентификаторов |
Согласно ч. 13 ст. 13.11 КоАП РФ предусмотрен штраф:
|
| Действия (бездействие), повлекшие неправомерную передачу информации, включающей ПДн более 100 000 субъектов и (или) более 1 млн идентификаторов |
Согласно ч. 14 ст. 13.11 КоАП РФ предусмотрен штраф:
|
| Действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей специальную категорию ПДн (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости) |
Согласно ч. 16 ст. 13.11 КоАП РФ) предусмотрен штраф:
|
| Действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей биометрические ПДн (за исключением случаев, указанных в ст. 13.11.3 КоАП РФ) |
Согласно ч. 17 ст. 13.11 КоАП РФ предусмотрен штраф:
|
⃰ Уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу
В новых реалиях особое внимание контролирующих органов направлено на первых лиц организации: даже при формальном назначении лица, отвечающего за защиту данных, именно на руководителе лежит финальная ответственность за соответствие процессов обработки требованиям законодательства. В ближайшей перспективе обсуждается введение уголовной ответственности за грубую халатность, породившую массовые утечки ПДн. Все это делает внедрение диджитал-комплаенса обязательным элементом современных систем стратегического комплексного управления бизнесом.
Ответственность ИП наравне с юридическими лицами
Федеральный закон от 30.11.2024 № 420-ФЗ предусматривает ужесточение ответственности для ИП за нарушения, предусмотренные ч. 1.1 и 8–18 ст. 13.11 КоАП РФ. Теперь предприниматели будут нести такую же ответственность, как и юридические лица. Это значит, что в большинстве ситуаций штраф для предпринимателя станет существенно выше, чем раньше.
Отягчающие обстоятельства при нарушениях в сфере ПДн
Новая редакция КоАП РФ также определяет перечень отягчающих обстоятельств, которые будут учитываться при назначении наказания за повторные правонарушения требований законодательства в части обработки ПДн, указанные в ч. 15 и 18 ст. 13.11 КоАП РФ.
К таким обстоятельствам отнесены:
- игнорирование требования уполномоченных органов прекратить противоправные действия — при условии, что нарушитель продолжал их допускать (п. 1 ч. 1 ст. 4.3 КоАП РФ).
- повторность правонарушения — если лицо на момент совершения нового нарушения (или на момент вынесения решения по делу) уже привлекалось к административной ответственности по ч. 1–11 статьи 13.11 КоАП РФ или по статьям 13.6, 13.12 КоАП РФ.
Наличие этих обстоятельств будет служить основанием для назначения более строгого наказания.
Расширение полномочий Роскомнадзора
Новые правила обработки ПДн существенно повышают риски для коммерческой деятельности. В частности, ввиду изменений в законодательстве произошло значительное усиление контрольных функций надзорных органов. Так, Роскомнадзор получил расширенные полномочия для мониторинга и пресечения нарушений. К примеру, ведомство вправе:
- проводить внеплановые проверки бизнеса без предварительного уведомления;
- требовать доступ к внутренним системам компаний для аудита;
- оперативно блокировать онлайн-ресурсы, нарушающие требования защиты ПДн.
И все это в дополнение к тому, что Роскомнадзор вот уже почти 20 лет, в соответствии с Федеральным законом от 27.07.2006 № 152 «О персональных данных», ведет единый реестр операторов персональных данных, позволяющий централизованно отслеживать их деятельность и оперативно реагировать на инциденты.
Помимо прямых финансовых потерь в виде штрафов бизнес сталкивается с серьезными репутационными издержками. Сведения об операторах из реестра Роскомнадзора носят преимущественно публичный характер, поэтому нарушения по части обращения с ПДн могут привести к оттоку клиентов и потере доверия к компании с точки зрения потенциального сотрудничества.
Что делать бизнесу
В новых условиях предпринимателям необходимо пересмотреть подходы к работе с ПДн.
Проведите комплексный аудит существующих процессов обработки информации. Это будет первый шаг. Особое внимание стоит уделить:
- анализу правовых оснований обработки;
- оценке используемых технических средств защиты;
- проверке внутренних регламентов и политик.
Проведите обучение персонала. Чтобы случайно не стать сообщником киберпреступников, необходимо также уделять внимание обучению персонала требованиям законодательства и кибербезопасности. Регулярные тренинги и аттестации сотрудников, работающих с ПДн, должны стать обязательной практикой на любом предприятии.
Подумайте о технической модернизации бизнеса. Еще один ключевой элемент новой стратегии — техническая модернизация бизнеса. Внедрение современных систем защиты, включая DLP-решения и средства криптографической защиты, становится не просто рекомендацией, а жизненной необходимостью.
Ужесточение регулирования в сфере защиты ПДн — не временное явление, а устойчивый мировой тренд. Поэтому компаниям, желающим успешно развиваться в новых условиях, необходимо уже сегодня выделить время и средства для формирования надежных систем защиты информации. Практика показывает, что проактивный подход обходится в разы дешевле, чем ликвидация последствий утечки. Более того, если предприниматель бережно и уважительно относится к чужим ПДн, то, вероятнее всего, он сумеет избежать мошеннических действий и в отношении собственного бизнес-проекта.
