«Информация — новое золото»

В ноябре Государственная дума приняла законы, ужесточающие ответственность за нарушение законодательства Российской Федерации в области персональных данных. Теперь за незаконный сбор, хранение, передачу и использование информации, содержащей персональные данные, предусмотрена не только административная, но и уголовная ответственность. Эти меры должны мотивировать компании усиливать защиту обрабатываемых ими персональных данных. О том, какие ресурсы понадобятся бизнесу для соответствия новым требованиям и как минимизировать риски при работе с персональными данными, рассказал Сергей Быков, руководитель отдела аналитики и организации защиты информации компании «АйЭсТи».

— Какие ключевые изменения произошли в законодательстве?

— 30 ноября Президент подписал поправки в Уголовный кодекс и КоАП, которые усиливают наказания за утечку персональных данных. Раньше штрафы за утечки персональных данных, связанные с необеспечением их сохранности при хранении материальных носителей, составляли максимум 100 тыс. рублей. При этом утечки данных, произошедшие по иным обстоятельствам, например, в результате компьютерных атак через интернет, вообще не имели отдельного регулирования, что воспринималось как серьезный пробел. Теперь штрафы выросли в разы: за утечку предусмотрены суммы до 15 миллионов рублей, а за незаконное использование, передачу, сбор и хранение персональных данных — лишение свободы на срок до 10 лет.

Изменения коснулись и взаимодействия компаний с регулятором. Если раньше существовал длинный список исключений, например, не нужно было уведомлять Роскомнадзор о работе с кадровыми документами, то теперь этот список существенно сокращен. Например, любая организация, ведущая учет персонала, обязана уведомлять Роскомнадзор о факте обработки персональных данных. За несоблюдение этих требований компании грозят штрафы: до 300 тыс. рублей для юридических лиц и до 50 тыс. рублей для должностных лиц.

— Что относится к персональным данным?

— Персональными данными считается любая информация, которая прямо или косвенно относится к определенному человеку. Это могут быть очевидные данные, такие как ФИО, адрес или номер телефона, а также более специфические сведения — о здоровье, месте работы или даже такие, как увлечения и хобби.

— От чего теперь зависят штрафы за утечку данных?

— Размер штрафа зависит от объема информации, к которой был получен неправомерный доступ. Например, если утекли персональные данные до 10 тыс. человек, минимальная сумма для юридических лиц составит 3 млн руб. А при утечке информации более ста тыс. человек штраф достигает 15 млн руб.

— Предусмотрена ли отдельная ответственность за повторные утечки?

— Да. Если компания уже привлекалась к ответственности ей грозит оборотный штраф до 500 млн руб.

При этом есть возможность смягчения штрафов. Для этого компания должна: в течение 3-х лет тратить не менее 0,1% от выручки на мероприятия по обеспечению информационной безопасности, проведенные организациями с государственной лицензией ФСБ или ФСТЭК, а также регулярно проводить аудит систем безопасности и не скрывать факт нарушения, если оно произошло.Такие меры позволяют снизить штраф в 10 раз.

— Как выявляют, из какой компании произошла утечка?

— У каждого набора данных есть свой цифровой след. По составу информации и ее специфике, как правило, можно установить, из какой компании произошла утечка.

— Часто можно услышать, что сотрудник компании может скачать базу клиентов перед увольнением и продать ее. Как законодательство защищает бизнес в таких ситуациях?

— Именно на такие случаи направлены ужесточенные меры, которые включены в Уголовный кодекс. Если сотрудник, например, менеджер банка или госслужащий, незаконно использует данные, он подпадает под действие Уголовного кодекса. За это предусмотрены внушительные штрафы и лишение свободы на срок до десяти лет.

— Ваша рекомендация: что сегодня бизнесу нужно сделать, чтобы минимизировать свои риски в этом направлении? Возможно, стоит задуматься об увеличении штата сотрудников, которые будут следить за цифровой безопасностью?

— Крупные компании обычно имеют штат IT-специалистов и сотрудников службы безопасности. Однако они часто сосредоточены на технических решениях, а организационная работа выполняется формально: издаются приказы, но нет должного контроля за их исполнением. Без вовлеченности руководства даже самые передовые системы не дадут необходимого уровня защиты.

В небольших компаниях ситуация сложнее. Не каждая из них может позволить себе штатного специалиста по безопасности. В таких случаях компания обязана привлекать лицензированные организации. Это быстрый способ провести аудит текущей системы защиты и понять, какие шаги нужно предпринять.

Однако даже в малом бизнесе должен быть сотрудник, который базово разбирается в вопросах информационной безопасности. Это необходимый минимум.

— Если третья сторона, которой передали данные, допустит их утечку, грозит ли ответственность оператору?

— Да, оператор несет ответственность. Поэтому компании должны заключать договоры с третьими сторонами, привлекаемыми к обработке персональных данных, четко прописывая требования к обеспечению защиты персональных данных, и то как они будут компенсировать ущерб в случае утечки. Даже если утечка произошла не по вине компании, ответственность остается на операторе.

— Не кажется ли утопией стремление полностью защитить данные в эпоху цифровизации?

— Полностью исключить утечки невозможно. Но мы можем стремиться к балансу. Информация действительно стала «золотом» нашего времени. Чтобы защитить этот ценный ресурс, нужно действовать с двух сторон: людям — тщательно думать, кому и зачем они передают свои данные, бизнесу — принимать все возможные меры защиты и минимизировать объем собираемой персональной информации. Например, не запрашивать паспортные данные для услуги доставки. Тем меньше строчек данных хранится и обрабатывается, тем меньше последствий в случае их утечки и ниже штраф.

Беседовал Евгений Чернов