Ужесточение ответственности за нарушения в сфере персональных данных для бизнеса с 30 мая 2025 года

Нино Бардземишвили

Юрист юридической фирмы Алимирзоев и Трофимов

Основные нововведения с 30 мая 2025 года

В первую очередь стоит отметить, что ответственность ужесточается по общему составу (обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных). Размеры штрафов будут увеличены: для юридических лиц штрафы составят от 150 тысяч рублей до 300 тысяч рублей (вместо 60 тысяч рублей — 100 тысяч рублей), за повторное нарушение — от 300 тысяч рублей до 500 тысяч рублей (вместо 100 тысяч рублей — 300 тысяч рублей).

Кроме того, за нарушение законодательства в области персональных данных теперь невозможно применить льготу по уплате штрафа, которая позволяет оплатить его со скидкой в 50%.

Самым главным нововведением является то, что закон теперь вводит специальные составы нарушения. К ним отнесены:

• нарушение обязанности уведомить о намерении обрабатывать персональные данные (штраф от 100 тысяч рублей до 300 тысяч рублей для юридических лиц и индивидуальных предпринимателей);
• нарушение обязанности уведомить об утечке персональных данных (от 1 млн рублей до 3 млн рублей);
• действия (бездействие), повлекшие утечку, если утечка затрагивает данные более тысячи человек или свыше 10 тысяч идентификаторов (от 3 млн рублей до 15 млн рублей);

• действия (бездействие), повлекшие утечку специальной категории персональных данных (от 10 млн рублей до 15 млн рублей). К специальной категории персональных данных относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• действия (бездействие), повлекшие утечку биометрических персональных данных (от 15 млн рублей до 20 млн рублей).

По таким специальным составам, как утечка специальной категории персональных данных и утечка биометрических персональных данных, закон дополнительно предусматривает оборотные штрафы. Они будут накладываться, если административное правонарушение в области персональных данных совершается повторно, при этом первое правонарушение могло быть совершено как по специальному составу, так и по общему.

Оборотные штрафы за правонарушения рассчитываются в размере от 1% до 3% от совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за предшествующий календарный год юридического лица. Чтобы было понятнее: если компания за 2024 год заработала 100 млн рублей, то при повторном нарушении ей может грозить штраф от 1 до 3 млн рублей. Точная сумма определяется судом в зависимости от тяжести правонарушения, наличия смягчающих или отягчающих обстоятельств и прочих факторов.

Таким образом, за утечку специальной категории персональных данных и биометрических данных юридическое лицо может быть привлечено к ответственности сразу по нескольким статьям КоАП РФ, в том числе по статье, которая предусматривает оборотный штраф.

Как и прежде, срок давности за административные нарушения законодательства в области персональных данных составляет один год.

Судебная практика по вопросу, сформированная до законодательных изменений, довольно однозначна. К ответственности привлекаются и те юридические лица, которые не обеспечили сохранность данных при их неавтоматизированной обработке (когда сведения о человеке обрабатываются без использования компьютеров, программного обеспечения или специальных информационных систем), что повлекло неправомерный или случайный доступ к ним либо их распространение среди неопределенного круга лиц (постановление Верховного Суда РФ от 12 июля 2024 года № 5-АД24-74-К2 в отношении АО «Почта России»).

Как она будет формироваться с учетом майских изменений — бизнесу только предстоит узнать.

Что такое персональные данные и какие сведения собирает бизнес

Персональные данные — это любая информация, которая позволяет прямо или косвенно определить конкретного человека. Сюда входят ФИО, паспортные данные, контактные телефоны, электронные почты, фотографии, данные о работе и профессиональном опыте, медицинские сведения, биометрические данные, а также история покупок и прочих взаимодействий с компанией.

Каждая компания, даже небольшая, ежедневно собирает и обрабатывает такие сведения. Это могут быть данные сотрудников, кандидатов на вакансии, уволенных работников, членов их семей, представителей партнерских организаций, посетителей офиса и сайта компании. Также бизнес активно использует cookie-файлы для анализа поведения пользователей сайта. С марта 2023 года, в соответствии со статьей 10.1 Федерального закона № 152-ФЗ, для сбора cookie-файлов, способных идентифицировать пользователя, требуется отдельное согласие. Малый бизнес зачастую работает и с чувствительными данными, такими как сведения о здоровье сотрудников и клиентов.

Согласно данным исследования компании Kaspersky Digital Footprint Intelligence, за первый квартал 2024 года малый и средний бизнес потерял 47 млн записей данных. Это в четыре раза превышает аналогичный показатель предыдущего года. Около 61% этих данных появились в теневых интернет-ресурсах в течение месяца после утечки. При этом в группе компаний «Гарда» подсчитали, что сертифицированное ПО для удаления персональных данных имеют только 3% российских компаний. Неудаление данных в положенный срок грозит как штрафами, так и утечками.

Для защиты персональных данных можно использовать такие инструменты, как DeviceLock DLP (ныне Кибер Протего) и Dr.Web Enterprise Security Suite (есть комплект для малого бизнеса).

Подготовка малого бизнеса к изменениям: план действий

Аудит процессов обработки персональных данных

Первый и необходимый шаг — тщательный аудит всех процессов, связанных с обработкой данных:

• выясните, какие конкретные данные собирает и хранит компания;
• определите, где именно и каким образом эти данные хранятся;
• установите круг сотрудников, имеющих доступ к данным;
• оцените действующие меры защиты и возможные риски.

Малый бизнес может начать с самостоятельной проверки своих процессов обработки данных, используя доступные бесплатные инструменты. Например, есть приказ от 24 декабря 2021 года № 253, в котором содержится список контрольных вопросов. Ответы на них помогут определить, соблюдаются ли обязательные требования в области персональных данных.

Обновление внутренней документации и правил

После аудита обновите внутренние документы:

• актуализируйте политику обработки персональных данных;
• пересмотрите и обновите согласия на обработку данных от сотрудников и клиентов;
• проведите изменения в должностных инструкциях работников, связанных с обработкой информации;
• создайте инструкции по оперативным действиям при обнаружении утечек или попыток несанкционированного доступа.

В инструкции рекомендуется закрепить перечень конкретных обязанностей, связанных с обработкой персональных данных: соблюдение конфиденциальности, работа только с необходимыми данными, запрет на передачу информации третьим лицам без согласия субъекта, обязанность сообщать о подозрениях на утечку данных. Также следует указать меры ответственности за нарушение правил обработки, в том числе дисциплинарные меры. Такие положения помогут формализовать подход к защите данных и минимизировать риски утечек по вине сотрудников.

Повышение осведомленности сотрудников

Регулярные обучающие мероприятия являются важной мерой профилактики утечек:

• проводите периодические тренинги по защите персональных данных;
• объясняйте признаки и последствия попыток незаконного доступа;
• разработайте четкий алгоритм действий сотрудников при возникновении угроз безопасности.

Усиление технической безопасности данных

Компания должна предпринять меры для усиления технической безопасности:

• используйте современные решения для шифрования информации. Например, к числу таких решений относятся сертифицированные ФСТЭК продукты, такие как VipNet CryptoFile и «Сигнал-КОМ». Также стоит учитывать встроенные средства шифрования в операционных системах (например, BitLocker в Windows) как временное или вспомогательное решение;
• внедрите многофакторную аутентификацию для всех сотрудников, имеющих доступ к персональным данным. В качестве бюджетных решений можно использовать двухфакторную аутентификацию через мобильные приложения, такие как Google Authenticator или Authy, а также шифрование в облачных сервисах;
• регулярно обновляйте программное обеспечение и проводите мониторинг на выявление и устранение уязвимостей;
• организуйте регулярные тестирования и аудиты информационной безопасности. Для малого бизнеса доступны облачные и локальные инструменты, такие как OpenVAS (бесплатный сканер уязвимостей с открытым исходным кодом), Qualys FreeScan (облачный сервис для анализа уязвимостей), а также Microsoft Secure Score — встроенная в Microsoft 365 платформа для оценки уровня защиты;
• создавайте и храните резервные копии данных в защищенных местах.

Назначение ответственного за защиту персональных данных

Определите сотрудника, который будет отвечать за соблюдение всех законодательных требований по защите данных. Он должен:

• отслеживать изменения законодательства;
• контролировать соблюдение правил обработки данных и своевременно реагировать на возможные нарушения;
• взаимодействовать с регуляторными органами и консультировать сотрудников;
• проводить внутренние проверки и своевременно реагировать на выявленные проблемы.

В условиях малого бизнеса эту функцию может выполнять как руководитель компании, так и сотрудник, совмещающий функции IT-специалиста или административного управляющего. Главное — четко зафиксировать такие обязанности в трудовом договоре или внутреннем приказе.

Также полезно организовать обратную связь с сотрудниками, чтобы оперативно выявлять потенциальные проблемы и предложения по улучшению безопасности данных.

Комплексный подход к подготовке позволит бизнесу значительно снизить риски утечек и соответствовать новым строгим требованиям законодательства. Это поможет сохранить доверие клиентов и партнеров и обеспечить стабильное развитие компании в новых условиях. Важно помнить, что ответственное отношение к персональным данным повышает общий уровень доверия к бренду и позитивно влияет на репутацию компании.