Оборотные штрафы за утечку персональных данных: новые меры наказания от государства

В недавнем законопроекте, представленном в Госдуме, предлагается ввести значительные штрафы за нарушения, связанные с утечкой персональных данных. Согласно нововведениям, компании могут столкнуться с штрафами до 500 млн рублей и уголовной ответственностью до 10 лет за подобные правонарушения.

Каковы будут последствия для компаний в случае утечки персональных данных и как этого избежать? Разбираемся в этой статье.

Какие уголовные наказания предусмотрены

Законопроект также вносит изменения в Уголовный кодекс, предусматривая уголовную ответственность за незаконный сбор, хранение, использование и передачу данных. Усиление ответственности предполагается в случаях, если деяние совершено группой лиц, причинило значительный ущерб, осуществлялось с целью обогащения или с использованием специальных средств.

• За создание ресурсов для незаконного хранения и распространения данных предусматриваются принудительные работы или до пяти лет тюремного заключения и штраф до 700 тыс. рублей.
• В случае трансграничной передачи данных, законопроект предлагает наказание до восьми лет заключения и штраф до 2 млн рублей, а при тяжких последствиях или организованной группой - до 10 лет и 3 млн рублей.
• Штрафы до 300 тыс. рублей или до четырех лет тюремного заключения предусмотрены за незаконное использование или передачу персональных данных.
• За использование данных из корыстных побуждений, повлекшее за собой значительный ущерб или совершенное группой лиц, предлагается ввести наказание до шести лет лишения свободы и штраф до 1 млн рублей.

Какие штрафы грозят компаниям после утечки персональных данных пользователей

В соответствии с предложенными изменениями, величина штрафа будет зависеть от объема скомпрометированных данных.

• Если количество пострадавших составляет от 10 тыс. до 100 тыс. человек, штраф увеличивается до 5-10 млн рублей.
• Для утечек, затрагивающих от 1 тыс. до 10 тыс. человек, штрафы для компаний начинаются от 3 млн и доходят до 5 млн рублей.
• При утечке данных более чем 100 тыс. человек, штраф составляет от 10 до 15 млн рублей.

Юридические лица и индивидуальные предприниматели приравниваются к компаниям в этом контексте.

За распространение особо чувствительных персональных данных (например, медицинской информации), предусмотрены штрафы для юридических лиц от 10 до 15 млн рублей, а также повышенные штрафы для физических лиц и сотрудников государственных или муниципальных структур.

В случае повторной утечки данных от 1 тыс. человек и более, законопроект предусматривает штраф от 0,1 до 3% от годовой выручки, но не менее 15 млн и не более 500 млн рублей.

Для физических лиц максимальный размер штрафа может достигать 800 тыс рублей.

Меры, принятые ранее

В России уже существуют законы, регулирующие обработку и защиту персональных данных. Указ президента РФ № 250 и Федеральный закон № 152-ФЗ «О персональных данных» устанавливают требования к обработке и защите персональных данных.

В этих документах персональные данные делятся на несколько категорий.

• Общие. Включают основную информацию о личности, такую как ФИО, адрес регистрации, сведения об образовании и месте работы, номер телефона, электронную почту, логины на сайтах и форумах.
• Специальные. Это данные, раскрывающие личные характеристики человека, такие как расовая и национальная принадлежность, политические, религиозные и философские убеждения, состояние здоровья, информация о сексуальной жизни и судимостях.
• Биометрические. К ним относятся уникальные физиологические или биологические характеристики, используемые для идентификации личности, например, отпечатки пальцев, ДНК-анализ, группа крови, рост, цвет глаз и вес. Важно отметить, что ксерокопии паспорта, фотографии в личном деле и рентгеновские снимки не считаются биометрическими данными.
• Иные. Эта категория включает все остальные данные, которые не могут быть отнесены к вышеперечисленным категориям, такие как принадлежность к определенной социальной группе, корпоративные данные и т.д.

Эти законы и регуляции обязывают организации принимать меры по защите персональных данных, обеспечивая их безопасность и конфиденциальность.

Почему ужесточаются наказания

Несмотря на уже существующие законы, утечек не стало меньше. Наоборот, данная тенденция в все еще сохраняется и из-за этого государству приходят действовать более жестко.

Текущий максимальный штраф для юридических лиц, допустивших утечку данных, составляет 100 тыс. рублей, а при повторной утечке – 300 тыс. рублей. Авторы нового законопроекта считают такие меры недостаточными и не соответствующими возможным последствиям. Ожидается, что более строгие наказания приведут к повышению внимания компаний к вопросам цифровой безопасности.

По словам сенатора Андрея Турчака, ущерб от утечек в 2022 году составил 8 млрд рублей, основная причина - активный оборот персональных данных на черном рынке.

Как предотвратить утечки данных

Большинство утечек в 2023 году связаны с действиями инсайдеров. Эффективным решением для предотвращения таких инцидентов являются системы DLP (Data Loss Prevention). Именно с их помощью можно защитить свою компанию от кражи и утечек персональных данных и защитить себя от уголовной ответственности.

Обратите внимание

DLP (Data Loss Prevention) – это программное обеспечение, предназначенное для защиты организаций от потери важных или конфиденциальных данных. Эти системы следят за действиями сотрудников, отслеживая обмен сообщениями в мессенджерах и электронной почте, работу с документами и передачу файлов.

DLP контролирует все потенциальные каналы утечки информации, обеспечивая мгновенное оповещение службы безопасности в случае возникновения угрозы утечки данных.

Одним из таких решений является система «Стахановец», которая анализирует поведение сотрудников и оценивает потенциальные риски. Система обеспечивает мониторинг активности, распознавание лиц, геолокацию, контроль мессенджеров и электронной почты, а также включает в себя функции, такие как «Антифото» и «Краулер», для идентификации и предотвращения утечек данных.