Новые штрафы за нарушения в работе с персональными данными. Речь уже идет о миллионах

В колонке для DK.RU эксперт по информационной безопасности Евгений Титов и старший партнер Адвокатского бюро LOYS Дмитрий Корешников, рассказали, какие нарушения в работе с персональными данными встречаются чаще всего и какие меры нужно предпринять, чтобы избежать штрафов за утечку информации.

Типичные ошибки и заблуждения  

Самая частая ошибка — неподача уведомления в Роскомнадзор (РКН). Как правило, за этим стоит невыполнение и всех остальных требований в сфере законодательства о персональных данных. И это логично, так как подача уведомления — заключительный этап проделанной работы. В уведомлении компания указывает: какие меры она предприняла по защите персональных данных, какие организационно-распорядительные документы разработала. Если уведомление не подано — это может быть своего рода маркером того, что организация нарушила обязательные требования.

Бытует заблуждение, что если подать уведомление, то РКН тобой обязательно займется. Поэтому лучше не уведомлять, и тем самым спасти себя от проверок. Это неправильный подход. В РКН сейчас нет плановых проверок.

Роскомнадзор работает, прежде всего, с обращениями граждан, то есть, как правило, с жалобами клиентов. И первое, что сделают сотрудники ведомства, получив жалобу, это проверят, подано ли уведомление. Если его нет, компания может быть привлечена к административной ответственности: по ч. 10 ст. 13.11 КОАП РФ юридические лица подлежат наказанию в виде штрафа до 300 тыс. руб. И это будет только начало, за которым последует более глубокая проверка соблюдения требований законодательства о персональных данных.

Следующая по частоте ошибка — несоответствие обрабатываемых персональных данных целям ее обработки. Например, для выдачи «скидочной» карты продуктового магазина делают ксерокопию паспорта, для оформления въезда на парковку требуют ПТС и т. д. — сбор этих данных избыточен для таких целей. Это также влечет наложение административного штрафа на юридических лиц — от 150 тыс. руб. до 300 тыс. руб. За повторное нарушение — до 500 тыс. руб.

Еще одно распространенное и легко обнаруживаемое нарушение — несоответствие сайтов компаний требованиям законодательства о персональных данных. Например, нет ссылки на политику в отношении обработки персональных данных, неправильно составлено согласие на обработку и т.п.

Как минимизировать риски

С 2024 г. законодатель взял курс на усиление ответственности: введена новая статья в Уголовный кодекс РФ, существенно расширен перечень административных правонарушений.

Если раньше размеры штрафов исчислялись тысячами рублей, то сейчас речь уже идет о миллионах. Так, за «утечки» данных штраф для юридических лиц может достигать 20 млн руб., а при повторном привлечении может быть наложен так называемый «оборотный» штраф в размере до 3 % годовой выручки предприятия.

Внимание проверяющих органов (а это не только РКН, но и прокуратура, а также по отдельным вопросам ФСБ, МВД и Федеральная служба по техническому и экспортному контролю) привлекают, прежде всего, операторы, которые обрабатывают большие объемы персональных данных. В зоне их внимания также те, кто обрабатывает информацию о состоянии здоровья, судимостях, интимной жизни, расовой или национальной принадлежности, политических взглядах, религиозных убеждениях.

Проверяющие органы особенно внимательны к операторам, обрабатывающим данные государственных информационных систем, и к организациям, относящимся к критической информационной инфраструктуре РФ: банковская и иная финансовая деятельность, здравоохранение, транспортное обеспечение, научные исследования и их апробация, горнодобывающий комплекс, металлургия, химическое производство, оборонный комплекс, связь, топливная промышленность и другие.

Чтобы минимизировать риски привлечения к ответственности, необходимо провести целенаправленную работу на приведение своей деятельности в соответствие с требованиями законодательства о персональных данных. И здесь важно не допустить другую частую ошибку — ограничиться лишь уведомлением в РКН и регистрацией в качестве оператора персональных данных. К сожалению, многие предприниматели считают, что этого достаточно.

Но в действительности уведомление — это лишь итог планомерной объемной работы. Несоответствие уведомления фактически производимой обработке персональных данных также влечет за собой ответственность. Поэтому необходимо провести внутренний аудит движения персональных данных в организации. Затем разработать локальные нормативные акты, которые регламентируют обработку данных. После чего применить необходимые меры защиты как технического, так и организационного характера (назначить ответственного и т.п.).

Самозанятые и ИП: что нужно знать

Обработкой персональных данных занимается практически каждый, кто извлекает прибыль в сфере производства и сбыта товаров, выполнения работ и оказания услуг. Соответственно, индивидуальные предприниматели и самозанятые также обязаны соблюдать требования действующего законодательства о персональных данных. Таковы современные реалии, и к ним придется приспосабливаться.

Все эти требования закона возникли далеко не вчера. Закон о персональных данных действует с 2006 г., но только в этом году серьезно изменилась ответственность за нарушения. Никакого переходного периода не будет, нужно уже сейчас, не откладывая, заниматься наведением порядка в вопросах обработки персональных данных.

Если предприниматель не обладает необходимыми знаниями, всегда можно найти экспертов, имеющих соответствующие знания и опыт, а также возможности привлечения высококвалифицированных технических специалистов в области безопасности.

Бизнес будет вынужден вкладываться в безопасность

Усиление ответственности за нарушения в области обработки персональных данных, безусловно, направлено на повышение уровня кибербезопасности граждан и государства в целом. Высокие штрафы призваны стимулировать компании к защите данных — бизнес будет вынужден вкладываться в безопасность, чтобы избежать финансовых потерь.

Значительные штрафные санкции заставят организации серьезнее относиться к хранению и обработке информации. Вполне допускаем, что в скором времени мы станем свидетелями публичных наказаний в этой области с применением огромных штрафов, чтобы показать серьезность намерений государства навести порядок в этой области и дисциплинировать участников рынка.

Однако мы не склоны расценивать эти меры как драконовские и неоправданные со стороны власти. Очевидно, в обществе назрела необходимость в защите персональных данных граждан. Рост преступлений, совершенных с использованием Интернета и персональных данных, телефонные мошенничества, хищения аккаунтов и т.д. вынуждают власть принимать соответствующие меры.

Но очевидно, что одними штрафами нельзя ограничиваться. Необходимо формировать в обществе культуру бережного отношения к информации, соблюдения основ кибергигиены и информационной безопасности.

В этой связи стоит отметить инициативы по преподаванию основ информационной безопасности в школах, для чего уже разработаны и изданы учебники. Существуют проекты по образованию в этой области с детского возраста, например, обучающий портал Роскомнадзора, детский развлекательный журнал по информационной безопасности «Безопашка» и другие. Но, как и во всех других значимых вопросах общественной жизни, не нужно надеяться только на инициативы государства. Информационная безопасность — это дело каждого, а предприниматели, как наиболее активная часть общества, могут и должны деятельно участвовать в формировании культуры информационной безопасности.

Минимальный набор средств — это антивирус и файервол

Существует огромный арсенал средств и систем обеспечения информационной безопасности. Нормативно-правовая и методическая база для этого тоже имеется, и она весьма обширна.

В процессе аудита, в зависимости от категорий обрабатываемой информации и уровня защищенности, специалисты формируют модель угроз безопасности, на основе которой выбираются те или иные меры защиты. Затем разрабатываются внутренние нормативные документы, политики, регламенты, инструкции. Используются методики оценки рисков. После внедрения системы защиты необходим постоянный контроль ее актуальности и эффективности, для чего могут быть привлечены так называемые «белые (этичные) хакеры» — специалисты, способные протестировать вашу систему на проникновение злоумышленников и выявить слабые места. Самостоятельно оценить наличие проблем можно, например, используя сканер уязвимостей ScanOVAL.

Минимальный доступный каждому набор средств — это антивирус и файервол. Также существуют системы предотвращения утечек информации (DLP-системы), системы управления событиями безопасности (SIEM-системы). Для передачи конфиденциальных данных необходимо использовать шифрование. Это предотвратит доступ к данным, в случае случайного или преднамеренного несанкционированного доступа к каналам связи или носителям информации. Но важно отметить, что построить адекватную систему защиты для каждого конкретного случая может только специалист. В зависимости от ситуации может потребоваться привлечение лицензированных организаций или использование сертифицированных средств защиты информации.

Читайте также на DK.RU: Юридические компании Екатеринбурга — о ключевых законодательных изменениях для бизнеса