• Главная
  • Блог

  • Оборотные штрафы за утечку персональных данных

Назад

Оборотные штрафы за утечку персональных данных

#Новости

Количество личных данных, которые попадают в Сеть, постоянно растёт. По информации Роскомнадзора, с начала 2024 года произошла утечка более 600 млн. записей о россиянах. Мошенники получили доступ к номерам банковских карт, паспортов и других документов. 

По данным InfoWatch, лидером по числу утечек персональных данных (ПДн) в 2024 году стал онлайн-ретейл. На него пришлось 30,8% зарегистрированных инцидентов.

По статистике аналитиков F.A.C.C.T. (бывшая Group-IB), за первые полгода 2024 года в утечках баз данных были 200,5 млн строк личной информации пользователей. За весь прошлый год — 397 млн, в 2022 году — 1,4 млрд, в 2021-м их число составило всего 33 млн.

По данным Positive Technologies, Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний в даркнете. На российские объявления пришлось примерно 10% от их общего количества за первое полугодие 2024 года. Среди лидеров также США (8%), Индия (7%), Китай (6%), а замыкают пятёрку Индонезия (4%)

В связи с колоссальной проблематикой утечек государство приняло решение ужесточить ответственность за утечку персональных данных. В статье рассказали, что изменится и какие новые штрафы должны будут платить компании в 2025 году.

Что такое утечка персональных данных и чем она опасна для бизнеса?

Утечка данных — это получение доступа к конфиденциальной, личной или защищаемой информации лицами, которые не имеют соответствующего разрешения.

Защита персональных данных и ответственность за нарушение законодательства в этой области регулируется:

ст. 13.11 КоАП;

№152-ФЗ от 27.07.2006 ;

ст. 151 ГК РФ — о компенсации морального вреда;

ст. 15 ГК РФ — о возмещении убытков;

ст. 90 Трудового кодекса — об ответственности за нарушения норм обработки и защиты персональных данных сотрудника.

Многие компании хранят у себя персональные данные пользователей: Ф. И. О., номера банковских карт, данные паспорта и СНИЛС, адрес регистрации и проживания и другие. Полный перечень информации, которая относится к персональным данным, можно найти в законе №152-ФЗ.

Утечка персональных данных может привести к негативным последствиям для бизнеса:

  • Репутационные риски. Если информация об утечке станет известна пользователям, они перестанут доверять компании и будут меньше обращаться к её услугам. Кроме того, информация об утечке может серьёзно снизить приток новых клиентов. Например, крупные банки и телекоммуникационные компании, столкнувшиеся с утечками, часто теряют клиентов и сталкиваются с падением акций.

  • Финансовые потери. Падение спроса на продукцию или услуги и уход новых клиентов приведут к сокращению прибыли. Кроме того, бизнесу придётся тратить больше средств на продвижение и рекламу, чтобы снизить недоверие пользователей. Также, компания должна будет заплатить штрафы и компенсации пострадавшим от утечки данных.

Финансовые потери - это особо тяжелый удар для любой организации. Немного раскроем тему:

  • затраты на восстановление систем и данных после утечки могут быть значительными. Это включает в себя обновление программного обеспечения, улучшение систем безопасности и обучение сотрудников.

  • в случае утечки данных компании могут быть вынуждены предоставлять компенсации пострадавшим клиентам или предлагать бесплатные услуги (например, мониторинг кредитной истории).

  • с большой вероятностью возникает необходимость нанимать юристов для защиты интересов компании в случае судебных разбирательств, что также влечет за собой значительные расходы на эти разбирательства.

  • Компании могут столкнуться с повышением страховых премий на полисы киберстрахования после инцидента, если использовали такой вид страхования.

Уголовная ответственность. 

В некоторых случаях утечка данных может привести к уголовной ответственности для должностных лиц компании, если будет доказано небрежное отношение к защите данных. Ст. 137 УК РФ предусматривает уголовную ответственность за незаконный сбор и распространение сведений, которые составляют личную или семейную тайну.

  • Максимальное наказание за утечку персональных данных клиентов — лишение свободы:

  • на срок до двух лет за незаконный сбор или распространение сведений, которые составляют личную или семейную тайну;

  • на срок до четырёх лет, если нарушение было совершено с использованием служебного положения;

  • на срок до пяти лет за публичное распространение сведений о личности несовершеннолетнего потерпевшего по уголовному делу или описание его физических и нравственных страданий.

Несколько примеров из российской практики:

1. Утечка данных в "Тинькофф":

   • В 2020 году в результате утечки данных клиентов банка Тинькофф были опубликованы личные данные пользователей на форумах. Это привело к репутационным потерям и необходимости усиления мер безопасности.

2. Утечка данных в "Сбербанке":

   • В 2017 году произошла утечка данных клиентов, что вызвало общественный резонанс и необходимость в дополнительных мерах по защите информации.

3. В 2021 году произошла утечка данных из нескольких государственных учреждений, включая данные о гражданах, получивших государственные услуги.

Последствия:

• Общественный резонанс: Утечка вызвала широкий общественный резонанс и критику со стороны граждан.

• Необходимость реформ: Государственные органы были вынуждены пересмотреть свои подходы к защите персональных данных и безопасности информации.

Что нового в законодательстве о персональных данных

В сложившейся ситуации, когда мошенники получают доступ к личным данным граждан, было решено ужесточить меры по их защите.

Изменения в КоАП. 

30 ноября 2024 года президент РФ подписал указ, а в декабре был опубликован закон №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Он вступит в силу через 180 дней после дня его официального опубликования, то есть введённые законом изменения начнут действовать с 30 мая 2025 года.

Закон предусматривает:

  • ответственность за неуведомление Роскомнадзора о намерениях обработки персональных данных и об утечках такой информации;

  • ужесточение штрафов за утечку персональных данных, обработку излишних данных и за обработку без необходимых разрешений.

Штраф за обработку персональных данных без согласия пользователя также увеличится.

Первичное нарушение:

от 50 до 100 тыс. рублей — для должностных лиц;

от 150 до 300 тыс. рублей — для юридических лиц.

Повторное нарушение:

от 100 до 200 тыс. рублей — для должностных лиц;

от 300 до 500 тыс. рублей — для юридических лиц.

Оборотные штрафы.

  • Изменения предусматривают введение оборотных штрафов за утечку персональных данных для компании — оператора персональных данных, которая допустила утечку личной информации.

Штраф за утечку персональных данных составит от 0,1 до 3% от выручки за календарный год или за часть текущего года, но не менее 25 млн рублей и не более 500 млн рублей.

Размеры штрафов будут зависеть от объёма утечек и от того, первичное это правонарушение или повторное:

  • от 3 млн до 5 млн рублей — при первых утечках данных от 1000 до 10 000 человек;

  • от 5 млн до 10 млн рублей — при утечках баз данных 10 000–100 000 граждан;

  • до 15 млн рублей — для баз более 100 000 человек.


Штраф за утечку биометрических персональных данных:

  • от 1,3 до 1,5 млн рублей — для должностных лиц;

  • от 15 до 20 млн рублей — для юридических лиц.

Появилась ответственность за неуведомление Роскомнадзора об утечке персональных данных. В этом случае юридическое лицо или ИП получат штраф от 1 до 3 млн рублей.

Изменения в уголовном законодательстве

На данный момент в УК РФ нет прямой уголовной ответственности за незаконные действия с персональными данными. Ст. 137 УК РФ защищает частную жизнь гражданина в целом и его право на личную и семейную тайну.

30 ноября 2024 года президент РФ подписал Федеральный закон от 30.11.2024 №421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации». Закон вступил в силу с 11 декабря 2024 года.

В УК РФ появиласт новая статья  272.1 «Незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения и (или) распространения».

За эти нарушения могут назначить штраф до 300 тыс. рублей, либо принудительные работы на срок до четырёх лет, либо лишение свободы на тот же срок.

Повышенная ответственность предусматривается, если нарушения совершены в отношении персональных данных несовершеннолетних лиц, специальных категорий персональных данных или биометрических персональных данных. 

Максимальное наказание — лишение свободы на срок до пяти лет. 

А если утечка повлекла вред жизни или здоровью граждан, общественной безопасности или преступление совершено организованной группой — до 10 лет.

Согласие на обработку персональных данных. 

В июле 2024 года в Госдуму был внесён законопроект №679980-8 о внесении изменений в статью 9 Федерального закона «О персональных данных» и статью 10 ФЗ «О защите прав потребителей».

Законопроект предлагает добавить правило, которое запрещает продавцам ограничивать доступ потребителя к информации о товаре из-за его отказа предоставить свои персональные данные. Исключение будут составлять случаи, когда обязанность предоставления персональных данных закреплена в законодательстве РФ. Тот же запрет планируется распространить на исполнителей и владельцев агрегатора.

Также может появиться уточнение, которое предписывает компаниям оформлять согласие на обработку персональных данных отдельно от других документов. Например, его будет нельзя включать в пользовательские соглашения. Это должно предотвратить случаи, когда согласие теряется среди большого объёма других сведений и пользователь подписывает его автоматически.

Кроме того, законопроект внесёт изменения в статью 9 №152-ФЗ и упростит процедуру отзыва согласия на обработку персональных данных. Сейчас для этого нужно написать официальное письмо в адрес организации, для которой оно было предоставлено. Когда законопроект будет принят, отозвать согласие можно будет в той же форме, в которой оно было получено. Например, непосредственно на сайте компании.

В заключение важно отметить, что вместе с ростом проблематики утечек ПДн и жесткой фокусировкой государства на защите ПДн, наблюдается кратный рост осознанности российского бизнеса не только в части защиты ПДн, но и в целом, в необходимости комплексного экологичного и экономичного подхода к информационной безопасности в организациях. Этому явно способствует развитие цифровизации в России, импортозамещение в сфере ИТ и ИБ, и, принятие закона об оборотных штрафах — как особый рычаг необходимости особого контроля информационной безопасности в каждой организации, от крупнейших заводов/пароходов до микро бизнеса и ИП.

В следующей статье мы рассмотрим основные риски, связанные с утечками персональных данных, а также сосредоточимся на первоочередных шагах, которые необходимо предпринять для обеспечения эффективной защиты ПДн. Понимание потенциальных угроз и внедрение соответствующих мер безопасности помогут минимизировать риски и обеспечить сохранность конфиденциальной информации.

Следующая тема
Компании готовятся к ужесточению штрафов за нарушения в обработке персональных данных: наши эксперты проведут вебинар
К списку

Категории

Все Документы Обновления DocShell Кейсы Новости Безопасность DocShell

Другие темы

11.02.2025
Компании готовятся к ужесточению штрафов за нарушения в обработке персональных данных: наши эксперты проведут вебинар
06.02.2025
Оборотные штрафы за утечку персональных данных
04.02.2025
Обработка и защита персональных данных в 2025 году
28.11.2024
Госдума усиливает наказания за утечку личной информации

Вопрос эксперту

Остались вопросы или хотите обсудить свою индивидуальную задачу? Наши эксперты готовы помочь вам.

Задать вопрос
t