Бизнес и ничего личного
Как повышение штрафов изменит работу компаний с персональными данными
С 30 мая в России как для граждан, так и для организаций, в разы вырастут штрафы за нарушения при обработке персональных данных. Например, за повторные размер штрафа будет рассчитываться как процент от оборота компании. «Ъ-Review» разбирался, как изменится работа с персональной информацией в России к концу 2025 года и останутся ли такие данные ценным ресурсом для компаний или, напротив, станут угрозой для них.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Токсичные данные
В соответствии с ФЗ №420 от 30 ноября 2024 года «О внесении изменений в Кодекс РФ об административных правонарушениях» с 30 мая вырастут штрафы за нарушения при обработке персональных данных. Первоначальные штрафы для физлиц — с 2-6 тыс. руб. до 10-15 тыс. руб., для организаций — с 60-100 тыс. руб. до 300-500 тыс. руб. За повторные нарушения размер штрафа будет рассчитываться как процент от оборота компании.
Кроме того, вводится ответственность за неуведомление оператором ответственного органа о намерении обрабатывать данные и за их неправомерную передачу. Для организаций предусмотрены штрафы в размере до 3 млн руб. за неуведомление, сопряженное с неправомерной передачей, и до 15 млн руб. — за утечку данных.
В то же время российские компании сегодня испытывают сложности с уничтожением персональных данных: по данным ИБ-компании «Гарда», почти 40% операций по уничтожению данных граждан совершаются вручную, а в 12% случаев не совершаются вовсе. Это связано как с отсутствием инструментов автоматизации процесса, так и с разрозненностью баз данных. В то же время не уничтоженные в срок данные могут стать причиной для получения штрафов, а также угрозой утечки чувствительной информации.
В связи с этим глава Минцифры Максут Шадаев на полях First Russian Data Forum в конце апреля заявил, что министерство изучает возможность отказа от хранения любых данных на «Госуслугах». «У нас задача к 2026 году отказаться от хранения вообще любых данных на "Госуслугах"», — отметил господин Шадаев. В ноябре 2023 года министр также заявлял, что портал «Госуслуги» перестанет хранить личные данные пользователей — вместо этого предполагалось обеспечить их хранение на ведомственных базах. В декабре 2024 года число пользователей портала «Госуслуг» достигло 112 млн человек.
Есть несколько проблем, связанных с персональными данными, которые в той или иной степени затрагивают каждого оператора данных, рассказывает руководитель группы защиты инфраструктурных IT-решений «Газинформсервис» Сергей Полунин.
Во-первых, это устаревшая IT-инфраструктура, во-вторых — низкая культура информационной безопасности в целом, говорит он.
Кроме того, количество атак на IT-инфраструктуру продолжает расти по многим причинам, что также является большой проблемой, отмечает господин Полунин.
«Главная проблема — не столько хранение, сколько уничтожение персональных данных, в том числе из архивов и резервных копий. Из-за ужесточения требований регулятора у операторов появились новые задачи, часть из которых пока не имеет полного решения»,— рассказывает руководитель отдела консалтинга и аудита Angara Security Александр Хонин. Среди таких задач он выделяет отсутствие автоматизированных инструментов для удаления персональных данных, а также сложные бизнес-процессы внутри компаний. В то же время руководитель отдела информационной безопасности Linx Cloud Григорий Филатов считает, что проблема хранения, как и в целом обработки данных состоит в формализованном отношении: «Иными словами, соблюдаются требования регулятора, но не более того».
Вопрос репутации
Если персональные данные своевременно не удаляются, это может свидетельствовать об отсутствии должного контроля и/или инструментов для их автоматического гарантированного уничтожения, считает Григорий Филатов.
По его словам, утечка вовремя не удаленных персональных данных из госсектора негативно сказалась бы на имидже государства как гаранта безопасности — этот риск важно нивелировать.
В то же время, по мнению начальника отдела по ИБ в «Код безопасности» Алексея Коробченко, сегодня есть сомнения в том, что у госсектора получится отказаться от обработки или значительно сократить объем персональных данных.
Отказ от обработки персональных данных обсуждается не впервые, но здесь есть нюансы, соглашается Александр Хонин: с одной стороны, государство стремится усилить защиту персональных данных, сконцентрировав их у одного оператора, что теоретически позволяет обеспечить максимальный уровень безопасности. «С другой стороны, это создает риск: крупное хранилище персональных данных становится привлекательной мишенью для злоумышленников»,— добавляет собеседник «Ъ-Review» в отрасли. Для бизнеса ситуация аналогична — возможны похожие модели хранения, однако это сложная задача, требующая выполнения множества организационных и технических требований, подчеркивает господин Хонин.
Пойдет ли российский бизнес по пути госсектора в попытке отказаться от хранения персональных данных, спрогнозировать сложно, говорит Григорий Филатов, ведь они по-прежнему остаются ценным ресурсом для компаний. «Они позволяют глубже анализировать поведение и предпочтения клиентов, например, для более профессионально разработанных продуктов и услуг, адаптированных под реальные потребности пользователей»,— говорит Александр Коробченко.
В условиях цифровизации и перевода услуг в онлайн персональные данные стали ключевым ресурсом для многих отраслей, напрямую влияя на бизнес-модели и доходы, поэтому массового отказа от обработки персональных данных ждать не стоит, соглашается Александр Хонин.
В то же время, по мнению Сергея Полунина, ценность персональных данных в ближайшее время будет пересмотрена: компаниям понадобятся релевантные данные, а не просто огромные объемы непроверенной информации. Поэтому могут появиться системы, которые, с одной стороны, будут очищать такие наборы данных от «мусора», а с другой — заниматься обезличиванием данных, где это возможно, или даже проверять их юридическую чистоту, прогнозирует эксперт.
«Персональные данные несут в себе риски: речь не только об оборотных штрафах, которые могут привести к значительным финансовым потерям»,— отмечает Александр Хонин.
Возможны случаи кражи баз данных с целью шантажа компаний — таким образом, риски многообразны и требуют серьезного подхода.
Сергей Полунин дополняет: «Регуляторы все больше будут мотивировать операторов задавать себе вопрос: нужны ли все эти сведения и возможно ли обеспечить их безопасность?» Качественные базы данных будут привлекать повышенное внимание как хакеров, так и инсайдеров, что станет новым вызовом для ИБ-подразделений компаний.
Много лишнего
Новое законодательство может побудить бизнес внимательнее подходить к процессам, выбору места хранения и документальной составляющей, связанной с персональными данными, считает Алексей Коробченко. «Важно, чтобы компании осознавали ответственность за защиту персональных данных и внедряли новые практики, соответствующие актуальным требованиям»,— говорит собеседник «Ъ-Review».
Вступление в силу майских поправок, вероятно, вызовет очередной всплеск интереса к защите данных к концу 2025 года, прогнозирует Александр Хонин. Будут пересмотрены подходы к обработке и защите персональной информации, кроме того, возможен отказ от обработки ее определенных категорий и уменьшение объемов ее хранения, считает господин Хонин. «Бизнес начнет постепенно отказываться от персональных данных в таких объемах, как сегодня, или по крайней мере попытается минимизировать их количество»,— соглашается Сергей Полунин.
При этом дело не только в штрафах: доверие пользователей к системам хранения их данных продолжает падать. Все это толкает бизнес к изменению модели обращения с персональными данными — похоже, в скором времени при получении бонусной карты в кафе от россиян уже не будут требовать персональные данные в таком объеме, как порой запрашивают сейчас, заключает собеседник «Ъ-Review».
Этот текст — часть проекта ИД «Коммерсантъ», посвященного трендам бизнеса и финансового рынка. Еще больше лонгридов с анализом ключевых отраслей российской экономики, экспертных интервью и авторских колонок — на странице Review.