Как изменится ответственность за утечку персональных данных

С принятием изменений в УК РФ, вступивших в силу, и КОАП РФ, которые начнут действовать уже с 30 мая 2025 года, миф об оборотных штрафах и уголовной ответственности за утечку персональных данных (ПДн) перестал быть таковым.

От представителей компаний, особенно небольших, мне все чаще приходится слышать фразу: «Скажите, что нам делать для выполнения требования 152-ФЗ и подзаконных актов».

Поэтому в этой колонке расскажу, как минимизировать риски возникновения ответственности за утечку ПДн и какие мифы, на мой взгляд, этому мешают. Очень надеюсь, что эта информация поможет тем, кто отвечает за учет и обработку ПДн в компаниях, принять более взвешенное решение при выполнении требований регуляторов.

Но прежде кратко пройдусь по самым заметным нововведениям.

За незаконное использование ПДн предусмотрена статья 272.1 УК РФ, которая влечет лишение свободы до 10 лет со штрафами до 3 млн руб. Такие деяния, попадающие под УК РФ, априори противоправные и умышленные, комментариев о строгости ответственности нет и быть не может. Мне сложно даже представить общий ущерб как в части нарушения конституционных прав и свобод человека и гражданина, так и в части материального вреда.

В части изменений в КОАП РФ, укрупненно:

• несвоевременное уведомление РКН (по закону надо уложиться в 24 часа) об утечке ПДн чревато штрафом в 1-3 млн руб.;
• действия (бездействие) оператора, повлекшие неправомерную передачу… информации, включающую биометрические ПДн, предполагают штраф 15-20 млн руб.;
• предусмотрен и максимальный штраф за утечку ПДн — это 1-3 % совокупного размера суммы выручки (25-500 млн руб).

Увеличение размеров штрафов заставляет операторов всерьез задуматься над вопросом защиты ПДн. Если речь идет о действии/бездействии, повлекшем утечку ПДн, то поспорить с виновностью оператора крайне сложно. Тогда как штраф до 3 млн руб за несоблюдение сроков уведомления об утечке ПДн (24 часа в соответствие с ч. 3.1 ст. 21 152-ФЗ) многим может показаться крайней мерой.

Здесь хочу обратить внимание на данные недавнего опроса, согласно которому лишь треть компаний регулярно проводит аудит процессов обработки и защиты ПДн: раз в три года, как того требует законодательство, и только половина внедрила необходимые средства защиты ПДн.

Многие принимали решение о проработке вопроса защиты ПДн по факту включения в план проверок Роскомнадзора. Хотя не надо исключать и внеплановые, а также проверки ФСТЭК России или ФСБ России. Внеплановую проверку, к примеру, может повлечь жалоба в РКН на неправомерную обработку ПДн. И тогда РКН пришлет по этому поводу запрос в организацию, и на такое обращение надо будет грамотно ответить.

Работа эта объемная (экспресс-аудит занимает, как правило, месяц, на комплексный уходит в среднем месяца четыре), поэтому нередко многие предпочитают перепоручить эти обязанности по аудиту организациям, имеющим лицензию на ТЗКИ.

Соблюсти все нормативные требования и сравнительно легко вести учет ПДн (сотрудников, клиентов, заказчиков, партнеров и т.д.), конечно же, помогает автоматизация. Она позволяет значительно сократить время на ведение учета ПДн, минимизировать риски штрафов за утечки, снимает многие проблемы учета, а также дает возможность работать с актуальными формами и документами.

Такие решения на нашем рынке есть. Например, разработка ARinteg — модуль «Учет персональных данных» (модуль УПДн), совместимый с системой программ «1С:Предприятие 8.3». Модуль представляет собой расширение к конфигурации 1С: ЗУП и автоматически учитывает изменения по кадровому учету.

Тот, кто понимает, как изменилась ситуация за последние два года и учитывает  высокие риски утечек ПДн, уже провел аудит персданных и автоматизировал такой учет, поскольку именно с организации правильных процессов обращения с ПДн начинается их защита в компании. Если у вас не так, то, не исключено, что вы оказались в плену одного из двух мифов.

Миф 1: полагать, это не про нас и утечка нас никогда не коснется

Это как раз не факт. Утечки персданных растут как снежный ком, неслучайно законодатели пошли на ужесточение наказаний в этой сфере. Только за 2024 год общий объем слитых в даркнет персданных удвоился, с началом этого года новые утечки только множатся. По данным DLBI, в 2024 году в даркнет попало 438 млн телефонных номеров и 227 млн email адресов пользователей — это на 70% больше, чем в 2023 году. В лидерах — сегмент электронной коммерции.

Миф 2: высокие затраты на внедрение ПО

Здесь стоит соизмерить риски и все как следует посчитать. Например, с внедрением решения по автоматизации учета ПДн вполне можно уложиться в сумму до ста тысяч рублей. Мы понимаем, что соблюдение 152-ФЗ («О персональных данных») начинается с подготовки необходимой организационно-распорядительной документации. Например, в тот же модуль УПДн входит набор документов: более 40 форм, необходимых при обработке и защите ПДн, и 36 организационно-распорядительных документов (ОРД).

Согласно недавнему исследованию InfoWatch, чаще всего из компаний утекают как раз-таки персональные данные: 50% всех утечек. При этом участники исследования отмечают, что средние затраты на инцидент могут составить порядка 23 млн руб., затраты на расследование — 100 млн руб. Так вот по оценке аналитиков InfoWatch, приводимый размер ущерба от утечек не сопоставим с количеством и объемами утечек данных в стране. И делают вывод о том, что руководители и сотрудники организаций не осознают масштабов данной проблемы, не оценивая и не учитывая ущерб от утечек и затраты на восстановление.