Владислав Овчинников, управляющий партнер Юридической группы «Совет», рассказывает, какие меры наказания за утечку персональных данных будут действовать с этого года и как бизнесу предотвращать такие утечки
Эту статью написал участник сообщества
Владислав Овчинников
Управляющий партнер в юридической группе Совет
Редакция «Бизнес-секретов» бережно сохранила авторский стиль, орфографию и пунктуацию — наши модераторы ничего не меняли
Написать статьюВладислав Овчинников, управляющий партнер Юридической группы «Совет», рассказывает, какие меры наказания за утечку персональных данных будут действовать с этого года и как бизнесу предотвращать такие утечки
Эту статью написал участник сообщества
Владислав Овчинников
Управляющий партнер в юридической группе Совет
Редакция «Бизнес-секретов» бережно сохранила авторский стиль, орфографию и пунктуацию — наши модераторы ничего не меняли
Написать статью23 января 2024 года Госдумой в первом чтении были приняты законопроекты об административной и уголовной ответственности за распространение персональных данных. Вероятнее всего, закон, усиливающий ответственность за утечку данных пользователей, будет принят. Что о новшествах стоит знать предпринимателям и как обезопасить компанию от утечки, например, базы данных лидов?
С чего все началось
По данным Роскомнадзора, за 2022 год было выявлено около 150 крупных утечек персональных данных. В 2023-м данная цифра только выросла — до 168 случаев. В сеть попали 300 млн записей о российских пользователях.
Усиление ответственности, которое бы снизило количество подобных случаев, было вынужденным. Совокупная сумма штрафов в менее чем 5 млн рублей, выписанных компаниям в прошлом году, несоразмерна ущербу в связи с утечкой персональных данных. В 2023-м он составил около 19 млрд рублей.
Кроме того, эта ситуация неприятна для самих пользователей. Персональные данные с каждым годом становятся все более привлекательным товаром. А из-за «слитых» данных потребителям приходится терпеть, например, постоянные звонки от назойливых менеджеров по продажам и даже «сотрудников служб безопасности банков».
Соавтор законопроекта об оборотных штрафах за распространение персональных данных Александр Хинштейн отметил, что такая картина говорит об отсутствии действенных мер против инцидентов. Мотивировать бизнес выделять больший бюджет на обеспечение информационной безопасности можно только с помощью ужесточения наказания за утечку данных.
Что должно измениться
Планируют внести изменения в меры наказания.
Кратно увеличатся административные штрафы. Если сейчас размер штрафа варьируется от 60 до 100 тыс. для компаний, привлекаемых к ответственности впервые, и от 100 до 300 тыс. рублей в случае повторного нарушения, то новый законопроект увеличит максимальный размер штрафа для бизнеса до 500 миллионов рублей. Значительно изменятся и минимальные штрафы: бизнес, допустивший утечку данных от 1 до 10 тыс. субъектов персональных данных, рискует потерять от 3 до 5 миллионов рублей.
Произойдет диверсификация ответственности. Огромные миллионные штрафы грозят прежде всего крупному бизнесу. То есть тем компаниям, которые собирают, хранят и обрабатывают огромное количество пользовательских данных. Однако и для предприятий, допустивших не столь значительные утечки, штрафы вырастут в 2-3 раза в зависимости от юридического статуса нарушителя.
Появится специальная статья в уголовном кодексе, предусматривающая уголовную ответственность за незаконное использование персональных данных. Согласно ей, нарушитель может получить наказание в виде лишения свободы на срок до 10 лет.
Отношение бизнеса к таким перспективам весьма предсказуемо — проект закона уже был подвергнут критике. И понятны мотивы авторов законопроекта, которые хотят побороть постоянные утечки.
Как предотвратить утечку персональных данных
От риска утечки базы данных лидов нельзя застраховаться на все 100%. У нас были клиенты, чьи сотрудники переписывали все данные лидов на листочек и благополучно выносили их из компании.
Сегодня достаточно технических способов, которые организации используют, чтобы минимизировать риск кражи: использование антивирусов и файрволов, DLP-систем, шифрования и соблюдение цифровой гигиены сотрудниками компании. Но еще более важно подкрепить защиту персональных данных с юридической точки зрения. Для этого нужно чтобы все отношения с сотрудниками, клиентами и партнерами были регламентированы.
Отношения с сотрудниками лучше выстраивать с учетом режима коммерческой тайны. Он начинает действовать, когда в компании утвержден реестр информации, которая несет для бизнеса коммерческую ценность, и с сотрудниками подписаны соответствующие соглашения. Работники, у которых есть доступ к конфиденциальной информации, например, к базе данных клиентов, должны быть проинформированы о том, что она является засекреченной и за ее разглашение они понесут ответственность.
Стоит обратить внимание и на то, как организованы бизнес-процессы компании: как получается информация, кому передается, каким образом ведется учет лиц, у которых есть к ней доступ, насколько своевременно неиспользуемая информация удаляется.
Что делать при утечке данных
Произошла утечка персональных данных? Во-первых, необходимо сообщить о произошедшем пользователям, чьи данные «утекли». Во-вторых, по обновленным правилам необходимо уведомить и Роскомнадзор:
- Отправьте в Роскомнадзор письмо об инциденте. В течении 24 часов после инцидента письмо нужно отправить в письменной или электронной форме. Сделать это можно на сайте РКН.
- Проведите внутреннее расследование. В течении 72 часов требуется установить причины утечки, найти нарушителей (определить, произошла ли утечка по вине сотрудника или является следствием внешнего воздействия) и усилить системы безопасности.
- Проинформируйте Роскомнадзор о результатах внутреннего расследования. Не позже 72 часов с момента выявления инцидента необходимо направить в РКН уведомление о проведенном внутреннем расследовании. Сообщение должно включать информацию о причинах инцидента, причиненном вреде и мерах, предпринятых для усиления защиты базы данных.
В заключение скажу, что вне зависимости от того, будет ли ответственность за утечку персональных данных ужесточена, любой предприниматель должен осознавать риски, поскольку информационная безопасность и конфиденциальность данных — один из ключевых факторов стабильного развития бизнеса.
Сталкивались ли вы с утечкой баз данных?