В России растет число утечек персональных данных и сливов коммерческой информации. В 2023 и 2024 году предприятия ждет ужесточение правовых норм, связанных с персональными данными, — госконтроль за деятельностью бизнеса будет усилен.
За 2022 год в России утекло более 660 млн записей с персональными данными и платежной информацией, подсчитали в группе компаний InfoWatch. Это в 2,67 раза больше, чем годом ранее, указано в исследовании компании. Число скомпрометированных записей более чем в 4,5 раза превысило население страны. Каждая утечка в 2022 году выросла по объему на треть по сравнению с предыдущим годом и содержала около 940 тыс. записей. Порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители. Заметнее всего выросла доля утечек среди организаций отраслевой группы «Ретейл & HoReCa» — практически в пять раз, среди промышленных, транспортных и энергетических компаний — почти в три раза;
Может казаться, что ужесточение правил касается в основном крупного бизнеса, — именно такие истории становятся предметом внимания СМИ и общественности и вызывают волну возмущения пользователей.
В действительности под прицелом любая компания. Дело в том, что согласно № 152-ФЗ де-факто любая компания — от ИП без сотрудников, если у него есть сайт, где собираются хоть какие-то данные (хотя бы cookies), до корпораций с миллиардным оборотом, обязана брать согласие на обработку персональных данных и принимать меры по их защите по новым правилам.
Также по поручению Президента в Госдуме обсуждается законопроект о введении оборотных штрафов для компаний. Вскоре ответственность бизнеса будет определяться не фиксированной суммой, а долей от выручки компании. Контекст обсуждения таков, что дело лишь в определении меры суровости наказания. Сейчас очевидно, от штрафов в десятки тысяч рублей система разворачивается к потенциальным штрафам в миллионы рублей.
В начале декабря в Госдуму внесли поправки в Кодекс об административных нарушениях (КоАП) и Уголовный кодекс, касающиеся ужесточения ответственности за нарушения при работе с персональными данными.
- Согласно поправкам в КоАП, если утечка касается от 1 тыс. до 10 тыс. граждан, штраф для юрлиц и ИП составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
- За повторное нарушение предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
- За утечку информации, включающей специальную категорию персональных данных (например, медицинской информации), штраф для юрлиц составит от 10 млн до 15 млн руб.
- Согласно изменениям в Уголовный кодекс, вводится уголовная ответственность для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными.
«С каждым годом законодательство о персональных данных становится строже, растет количество административных дел, — отмечает эксперт по правоприменению норм о персональных данных, адвокат адвокатского бюро Sollars Владислав Кальмуцкий.
«Вероятность принятия закона об оборотных штрафах за утечку мы оцениваем близким к 100%, и после этого финансовые риски крупных штрафов для бизнеса станут очень и очень существенными», — сказал юрист
Часть новых правил вступила в действие в 2023 году.
- С середины февраля 2023 года пересмотрены условия моратория на проведение контрольных надзорных) мероприятий. Проведение внеплановых мероприятий по контролю за обработкой персональных данных допускается, если установлено распространение (предоставление) в интернете баз данных, содержащих персональные данные.
- С марта согласно новой ч. 7 ст. 21 закона «О персональных данных» операторы должны подтверждать уничтожение персональных данных в порядке, установленном в специальном приказе Роскомнадзора:
- С июня компаниям и иным лицам запрещено обрабатывать биометрические персональные данные в своих информационных системах (автоматизированным способом) для идентификации и аутентификации физических лиц без использования государственной единой биометрической системы (ЕБС) согласно с № 572-ФЗ.
По мнению специалиста по защите персональных данных из бюро Sollars, при возможных проверках бизнеса контрольными органами будет оцениваться:
- Серьезность мер, предпринятых в компании для защиты персональных данных.
- Факт уведомления Роскомнадзора о самом факте обработки ПД в компании.
- Порядок и законность сбора и хранения данных граждан, то есть имеются ли у бизнеса законные основания для этого, например, получены ли вы согласия на обработку персональных данных, когда оно необходимо.
Владислав Кальмуцкий рассказывает, как предприниматели могут снизить риски проверок и штрафов.
«Важно провести тщательный аудит, проверить, приняты ли соответствующие организационные меры для законной обработки и защиты персональных данных как клиентов, так и сотрудников компании, — говорит адвокат. — При работе по проведению такого аудита у наших партнеров мы реализуем мероприятия, составляем документы, которые могут быть предоставлены в Роскомнадзор в случае проверки. Также мы даем рекомендации по отладке бизнес-процессов, все это в комплексе существенно снижает риск утечки такого рода информации и минимизирует риски получения штрафов».
Комплекс мероприятий по защите персональных данных включает в себя:
— приведение документов компании в соответствии с требованиями № 152-ФЗ; аудит ПД в соответствии с требованиями № 152-ФЗ;
— подготовка документов по обработке ПД в соответствии с требованиями № 152-ФЗ;
— составление согласия на обработку и распространение ПД;
— разработка политик конфиденциальности для размещения на сайте;
— регистрация в российском реестре операторов ПД.
Эксперты Sollars уверены, что тематика персональных данных останется в фокусе внимания и регуляторов, и представителей бизнеса в ближайшие годы. Можно ожидать формирования правоприменительной практики по недавним изменениям законодательства и дальнейшее ужесточение норм, направленных на предотвращение утечек информации. Вопросы также вызывают новые правила трансграничной передачи персональных данных, это касается многих бизнесов — авиакомпании, маркетплейсы, интернет-магазины, медицинские структуры, благотворительные фонды, логистические и финансовые компании.
«Обработка персональных данных уже сейчас требует превентивных мер и дополнительного внимания со стороны генерального директора компании, юридического департамента, HR— и IT-департаментов, это вопрос комплексный, который нельзя решить принятием одного положения или добавив пункт в должностную инструкцию», — констатирует Владислав Кальмуцкий.