«Компании могут получить огромные штрафы за утечки личной информации»

Госдума в первом чтении одобрила законопроект об оборотных штрафах для компаний за нарушения в сфере персональных данных. Документ предусматривает санкции в размере 3% от оборота за повторные инциденты с утечкой информации. Законопроект №951518-8 направлен на ужесточение правил трансграничной передачи персональных данных в страны с недостаточным уровнем их защиты. Документ касается внесения изменений в ст.12 ФЗ «О персональных данных». Крупные компании могут столкнуться с многомиллионными санкциями даже за однократное нарушение, уверена юрист агентства «Империал» Ольга Путилина:

Выйти из полноэкранного режима

Развернуть на весь экран

«Значимость закона о персональных данных резко возросла в последние несколько лет. Организации сталкиваются с увеличением штрафов и ужесточением нормативных требований, а уведомление Роскомнадзора стало обязательным для всех субъектов, работающих с конфиденциальными сведениями граждан.

Основой регулирования в этой сфере служит ФЗ-152, дополненный приказом Роскомнадзора №187, приказом ФСБ России №77 и приказом ФСТЭК России №21. Эти документы устанавливают порядок взаимодействия с контролирующими органами и определяют меры защиты.

Прежде всего, необходимо определить, что входит в сферу понятия “персональные данные”. К ним относятся любые сведения, которые дают возможность установить личность человека.

Согласно устоявшейся судебной практике, к персональным данным относятся фамилия, имя, отчество, номера телефонов, серия и номер паспорта, сведения о месте регистрации гражданина, биометрические характеристики, информация из водительского удостоверения, о социальном положении физлица и его доходах.

Требования к безопасности продолжают ужесточаться. Сейчас рассматривается законопроект об оборотных штрафах, предусматривающий для юридических лиц санкции в размере 3% от оборота за повторные инциденты с утечкой данных. В связи с этим бизнесу грозит ряд рисков.

Во-первых, финансовые потери. Оборотные штрафы рассчитываются от совокупной выручки компании за предшествующий календарный год. Так что, подчеркиваю: компании могут получить огромные штрафы за утечки личной информации. Во-вторых, и это самое страшное, компании, пострадавшие от утечки персональных данных, могут столкнуться с потерей клиентской базы. В-третьих, удар по репутации компании, что негативно скажется на взаимоотношениях с деловыми партнерами.

Важно также понимать, что с 2022 года все компании обязаны извещать Роскомнадзор о начале обработки персональной информации. Даже если онлайн-сервис собирает только ФИО, год рождения или контактные данные, это уже требует официального уведомления ведомства.

Для соблюдения законодательства необходимо реализовать комплекс организационных и технических мер. Первым шагом должно стать определение категорий обрабатываемых сведений (обычные, специальные, биометрические). Критически важно ограничить круг лиц, имеющих доступ к персональным данным. Это оформляется официальным приказом с личными подписями ответственных сотрудников

Особое внимание советую уделить безопасности помещений, где производится обработка конфиденциальной информации. Доступ к ним должен строго контролироваться. Компаниям также следует провести ревизию собираемых данных, выявить действительно необходимые сведения и отказаться от избыточной информации. Это необходимо для того, чтобы снизить потенциальные риски.

Хотя законодательство прямо не требует обучения персонала информационной безопасности, сотрудники, работающие с базами персональных данных, должны уметь распознавать фишинговые письма и признаки кибератак.

Таким образом, в процессе обработки персональных данных должны применяться как технические, так и организационные меры, направленные на предотвращение несанкционированного доступа, несанкционированного раскрытия и иных инцидентов. Несоблюдение установленных регламентов хранения персональных данных влечет за собой серьезную административную ответственность, а в случае несанкционированного раскрытия — еще и ответственность уголовную».