Штрафы за персональные данные

Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска

Госдума в I чтении приняла поправки об оборотных штрафах и уголовной ответственности за нарушение закона о персональных данных. Разобрались, как бизнес может нарушить закон о персональных данных и как снизить риски.
Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска
Иллюстрация: Вера Ревина/Клерк.ру

Ответственность за утечки данных 

Закон о персональных данных защищает любую информацию о человеке, на основе которой можно определить его личность. Конкретного перечня данных в законе нет, но чаще всего к ним относят Ф. И. О., пол, дату и место рождения, место жительства, образование, семейное положение, занимаемую должность, телефон, email и другую информацию.

Любой бизнес хранит эти данные о своих сотрудниках и клиентах, и базу с этой информацией могут взломать. По данным Роскомнадзора, в 2023 году в результате утечек данных в открытый доступ попало более 300 млн записей

Когда поправки вступят в силу, ответственность организаций за действия или бездействия, которые привели к утечкам их баз данных, вырастет в 300 раз. Если раньше штрафы доходили до 1,5 миллиона рублей, то будут — до 500 миллионов

Размеры штрафов будут зависеть от объема утечек и от того, первое это правонарушение или повторное.

  • штраф от 3 млн до 5 млн рублей — при первых утечках данных от 1000 до 10 000 человек;

  • от 5 млн до 10 млн рублей — при утечках баз данных 10 000 — 100 000 граждан;

  • до 15 млн рублей — для баз более 100 000 человек.

Штрафы за повторные утечки — оборотные, от 0,1 до 3% выручки за календарный год или за часть текущего года, минимум 15 млн рублей и максимум — 500 млн рублей.

Утечки данных могут произойти в любой компании, и они далеко не всегда связаны со взломами извне. В 80% случаев, по данным исследований, утечки происходят из-за действий сотрудников, как случайных, так и умышленных.  

Читайте также: Персональные данные в РФ: 5 реальных случаев нарушений и что с ними делать.

Можно выделить несколько основных факторов риска.

Отсутствие документов о неразглашении

Пока вы не подписали с сотрудниками документы о неразглашении конфиденциальных данных, вы никак не защищены от утечек.

Как уменьшить риск

Обязательно заключайте с новыми сотрудниками соглашение о неразглашении конфиденциальной информации или включайте соответствующий пункт в трудовой договор. 

Скачать бланк соглашения о неразглашении конфиденциальной информации.

Однако просто составить соглашение — недостаточно. Учитывайте, что многие подписывают кадровые документы, не читая, и не придают им значения. Мы рекомендуем при подписании объяснять сотрудникам, что такое персональные данные и почему они защищены законом, рассказывать про нюансы соглашения и ответственность за разглашение данных.

Неконтролируемый документооборот

Часто руководители не отслеживают, у кого есть доступы к персональным данным клиентов и сотрудников, и не задумываются, насколько ценной может быть информация. Из-за этого защищенные законом данные может изучать и копировать кто угодно, вне зависимости от должности.

В нашей практике был случай, когда списки клиентов с контактными данными остались лежать на столе в свободном доступе после окончания рабочего дня, их забрала уборщица — и продала конкурентам. 

Как уменьшить риск

Доступ к базам с персональными данными должен быть только у тех, кто непосредственно с ними работает. В небольших компаниях доступ может быть только у генерального директора и одного–двух ответственных сотрудников, которые подписывают документы о неразглашении.

Все документы, связанные с персональными данными должны храниться в защищенной информационной системе с разграничением прав доступа, офлайн–документы — в специальных бухгалтерских шкафах и сейфах.  

Небезопасная ИТ-инфраструктура

Большинство утечек происходит из-за того, что сотрудники не используют программные решения для защиты информации. Иногда на них экономит компания, но чаще люди просто игнорируют корпоративные стандарты безопасности.

Если в вашей компании отправляют письма с конфиденциальными данными через личную электронную почту или мессенджеры, хранят информацию в открытых файлообменниках и облачных сервисах, не устанавливают антивирус, то утечка данных — только вопрос времени.

Как уменьшить риск

Первое, что нужно сделать — настроить ИТ-инфраструктуру для надежного хранения и передачи данных, и, в том числе DLP-систему, которая отслеживают все информационные потоки и блокирует подозрительные действия.

Помимо этого, необходимо постоянно обучать сотрудников, рассказывая им базовые правила информационной безопасности, чтобы избежать случайных утечек из-за фишинга и небрежности.

Хотите защитить свой бизнес от штрафов от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Ответственность за незаконную работу с персональными данными

Персональные данные каждого конкретного человека бизнес должен получать только с его письменного согласия. Незаконное получение, хранение, обработка или передача данных — нарушение закона. 

Согласно новым поправкам, ответственность будет доходить до уголовной:

  • штраф от 300 до 700 000 рублей или лишение свободы на срок от 4 до 5 лет в зависимости от объема баз данных;

  • штраф до 1 млн рублей или лишение свободы на срок до 10 лет, если нарушение закона привело к тяжким последствиям.

Чтобы узнать, соблюдает ли ваша компания требования закона, проверьте ее по чек-листу.

Читайте также: Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей.

Основные параметры

1. Числится ли компания в реестре операторов Роскомнадзора? Если в организации собирают и обрабатывают персональные данные о клиентах и сотрудниках, она обязана входить в реестр. 

2. Продумана ли система информирования Роскомнадзора об инцидентах по утечке персональных данных? Существует ли акт об оценке возможного вреда субъектам персональных данных?

Требования к работе с персональными данными сотрудников

3. Существуют ли и соответствуют ли образцам положение о персональных данных и политика защиты и обработки персональных данных?

Скачать пример положения о работе с персональными данными сотрудников.

Скачать пример политики защиты и обработки персональных данных.

4. Есть ли в компании сотрудник, ответственный за работу с персональными данными, и существует ли приказ о его назначении? Подписал ли он соглашение о допуске к персональным данным и обязательство о неразглашении? Если сотрудников несколько, продуман ли регламент их допуска к обработке персональных данных?

5. Соответствуют ли требованиям закона документы о согласии на обработку персональных данных, и все ли сотрудники подписали эти документы?

Скачать пример согласия сотрудника на обработку персональных данных.

Скачать бланк согласия сотрудника на обработку персональных данных.

6. Оформляете ли вы отдельно согласие на обработку биометрических персональных данных? 

7. Есть ли у вас согласие на получение персональных данных у третьих лиц, если оно необходимо? 

8. Оформили ли вы согласие сотрудника на распространение его персональных данных?

9. Отправляли ли вы в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных, если это необходимо? Отправляете ли запросы о дополнении и исправлении данных при трансграничной передаче?

Требования к работе с персональными данными клиентов в интернете

10. Запрашиваете ли вы согласие на обработку персональных данных пользователей сайта?

11. Соответствуют ли политика обработки персональных данных посетителей сайта всем требованиям законодательства?

12. Есть ли у вас регламент ответов на запросы посетителей сайта о хранении, обработке и уничтожении персональных данных?

13. Оформлено ли у вас поручение на обработку персональных данных контрагенту, если оно необходимо?

Хранение и уничтожение персональных данных 

14. Соответствуют ли ваши правила хранения и защиты персональных данных требованиям законодательства — 149-ФЗ, 152-ФЗ, приказу ФСТЭК от 2 июня 2020 г. № 76?

15. Подтверждаете ли вы уничтожение персональных данных документально — актом об уничтожении или выгрузкой из журнала регистрации событий? 

16. Отправляете ли в Роскомнадзор уведомление об уничтожении данных?

Настроим работу с персональными данными с нуля

Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор

Реклама: ООО «ПЭБ», ИНН 5904400185, erid: LjN8K4R3f

Комментарии

8
  • Лучше заключить всевозможные соглашения о неразглашении, о конфиденциальных данных, чтобы потом не было недомолвок. А в этих соглашениях учесть все нюансы. 

  • Маша М

    Да сколько уже этих соглашений подписано…договор заключаешь - соглашение, прививку делаешь - соглашение, зато какая-нибудь тетя на почте возьмет паспорт и будет громко зачитывать и твои ФИО, и твой адрес…и все равно.

    • Arhimed0

      Чем больше всяких-разных соглашений, тем больше вероятность что какое-то из них потеряется "куда надо" или "куда не надо"

  • У нас интернет-магазин, постоянно приходится обновлять политику обработки персональных данных, Роскомнадзор не дремлет…