Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска

Госдума в I чтении приняла поправки об оборотных штрафах и уголовной ответственности за нарушение закона о персональных данных. Разобрались, как бизнес может нарушить закон о персональных данных и как снизить риски.
1,2 тыс. 209
Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска
Иллюстрация: Вера Ревина/Клерк.ру

Ответственность за утечки данных 

Закон о персональных данных защищает любую информацию о человеке, на основе которой можно определить его личность. Конкретного перечня данных в законе нет, но чаще всего к ним относят Ф. И. О., пол, дату и место рождения, место жительства, образование, семейное положение, занимаемую должность, телефон, email и другую информацию.

Любой бизнес хранит эти данные о своих сотрудниках и клиентах, и базу с этой информацией могут взломать. По данным Роскомнадзора, в 2023 году в результате утечек данных в открытый доступ попало более 300 млн записей

Когда поправки вступят в силу, ответственность организаций за действия или бездействия, которые привели к утечкам их баз данных, вырастет в 300 раз. Если раньше штрафы доходили до 1,5 миллиона рублей, то будут — до 500 миллионов

Размеры штрафов будут зависеть от объема утечек и от того, первое это правонарушение или повторное.

  • штраф от 3 млн до 5 млн рублей — при первых утечках данных от 1000 до 10 000 человек;

  • от 5 млн до 10 млн рублей — при утечках баз данных 10 000 — 100 000 граждан;

  • до 15 млн рублей — для баз более 100 000 человек.

Штрафы за повторные утечки — оборотные, от 0,1 до 3% выручки за календарный год или за часть текущего года, минимум 15 млн рублей и максимум — 500 млн рублей.

Утечки данных могут произойти в любой компании, и они далеко не всегда связаны со взломами извне. В 80% случаев, по данным исследований, утечки происходят из-за действий сотрудников, как случайных, так и умышленных.  

Читайте также: Персональные данные в РФ: 5 реальных случаев нарушений и что с ними делать.

Можно выделить несколько основных факторов риска.

Отсутствие документов о неразглашении

Пока вы не подписали с сотрудниками документы о неразглашении конфиденциальных данных, вы никак не защищены от утечек.

Как уменьшить риск

Обязательно заключайте с новыми сотрудниками соглашение о неразглашении конфиденциальной информации или включайте соответствующий пункт в трудовой договор. 

Скачать бланк соглашения о неразглашении конфиденциальной информации.

Однако просто составить соглашение — недостаточно. Учитывайте, что многие подписывают кадровые документы, не читая, и не придают им значения. Мы рекомендуем при подписании объяснять сотрудникам, что такое персональные данные и почему они защищены законом, рассказывать про нюансы соглашения и ответственность за разглашение данных.

Неконтролируемый документооборот

Часто руководители не отслеживают, у кого есть доступы к персональным данным клиентов и сотрудников, и не задумываются, насколько ценной может быть информация. Из-за этого защищенные законом данные может изучать и копировать кто угодно, вне зависимости от должности.

В нашей практике был случай, когда списки клиентов с контактными данными остались лежать на столе в свободном доступе после окончания рабочего дня, их забрала уборщица — и продала конкурентам. 

Как уменьшить риск

Доступ к базам с персональными данными должен быть только у тех, кто непосредственно с ними работает. В небольших компаниях доступ может быть только у генерального директора и одного–двух ответственных сотрудников, которые подписывают документы о неразглашении.

Все документы, связанные с персональными данными должны храниться в защищенной информационной системе с разграничением прав доступа, офлайн–документы — в специальных бухгалтерских шкафах и сейфах.  

Небезопасная ИТ-инфраструктура

Большинство утечек происходит из-за того, что сотрудники не используют программные решения для защиты информации. Иногда на них экономит компания, но чаще люди просто игнорируют корпоративные стандарты безопасности.

Если в вашей компании отправляют письма с конфиденциальными данными через личную электронную почту или мессенджеры, хранят информацию в открытых файлообменниках и облачных сервисах, не устанавливают антивирус, то утечка данных — только вопрос времени.

Как уменьшить риск

Первое, что нужно сделать — настроить ИТ-инфраструктуру для надежного хранения и передачи данных, и, в том числе DLP-систему, которая отслеживают все информационные потоки и блокирует подозрительные действия.

Помимо этого, необходимо постоянно обучать сотрудников, рассказывая им базовые правила информационной безопасности, чтобы избежать случайных утечек из-за фишинга и небрежности.

Хотите защитить свой бизнес от штрафов от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним

Принимаю оферту и даю согласие по перс.данным

Ответственность за незаконную работу с персональными данными

Персональные данные каждого конкретного человека бизнес должен получать только с его письменного согласия. Незаконное получение, хранение, обработка или передача данных — нарушение закона. 

Согласно новым поправкам, ответственность будет доходить до уголовной:

  • штраф от 300 до 700 000 рублей или лишение свободы на срок от 4 до 5 лет в зависимости от объема баз данных;

  • штраф до 1 млн рублей или лишение свободы на срок до 10 лет, если нарушение закона привело к тяжким последствиям.

Чтобы узнать, соблюдает ли ваша компания требования закона, проверьте ее по чек-листу.

Читайте также: Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей.

Основные параметры

1. Числится ли компания в реестре операторов Роскомнадзора? Если в организации собирают и обрабатывают персональные данные о клиентах и сотрудниках, она обязана входить в реестр. 

2. Продумана ли система информирования Роскомнадзора об инцидентах по утечке персональных данных? Существует ли акт об оценке возможного вреда субъектам персональных данных?

Требования к работе с персональными данными сотрудников

3. Существуют ли и соответствуют ли образцам положение о персональных данных и политика защиты и обработки персональных данных?

Скачать пример положения о работе с персональными данными сотрудников.

Скачать пример политики защиты и обработки персональных данных.

4. Есть ли в компании сотрудник, ответственный за работу с персональными данными, и существует ли приказ о его назначении? Подписал ли он соглашение о допуске к персональным данным и обязательство о неразглашении? Если сотрудников несколько, продуман ли регламент их допуска к обработке персональных данных?

5. Соответствуют ли требованиям закона документы о согласии на обработку персональных данных, и все ли сотрудники подписали эти документы?

Скачать пример согласия сотрудника на обработку персональных данных.

Скачать бланк согласия сотрудника на обработку персональных данных.

6. Оформляете ли вы отдельно согласие на обработку биометрических персональных данных? 

7. Есть ли у вас согласие на получение персональных данных у третьих лиц, если оно необходимо? 

8. Оформили ли вы согласие сотрудника на распространение его персональных данных?

9. Отправляли ли вы в Роскомнадзор уведомление об осуществлении трансграничной передачи персональных данных, если это необходимо? Отправляете ли запросы о дополнении и исправлении данных при трансграничной передаче?

Требования к работе с персональными данными клиентов в интернете

10. Запрашиваете ли вы согласие на обработку персональных данных пользователей сайта?

11. Соответствуют ли политика обработки персональных данных посетителей сайта всем требованиям законодательства?

12. Есть ли у вас регламент ответов на запросы посетителей сайта о хранении, обработке и уничтожении персональных данных?

13. Оформлено ли у вас поручение на обработку персональных данных контрагенту, если оно необходимо?

Хранение и уничтожение персональных данных 

14. Соответствуют ли ваши правила хранения и защиты персональных данных требованиям законодательства — 149-ФЗ, 152-ФЗ, приказу ФСТЭК от 2 июня 2020 г. № 76?

15. Подтверждаете ли вы уничтожение персональных данных документально — актом об уничтожении или выгрузкой из журнала регистрации событий? 

16. Отправляете ли в Роскомнадзор уведомление об уничтожении данных?

Настроим работу с персональными данными с нуля

Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор

Реклама: ООО «ПЭБ», ИНН 5904400185, erid: LjN8K4R3f

Начать дискуссию

IT-компании

Иностранные IT-компании не смогут получать льготы в РФ

Из реестра аккредитованных IT-компаний уберут иностранный бизнес. Предприятия не смогут получать налоговые преференции и отсрочку от армии для своих сотрудников.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

Утвердят бланк, чтобы останавливать упрощенную ликвидацию компании

С 1 июля 2023 года действует процедура упрощенной ликвидации компаний малого бизнеса. Но если учредители передумали и решили продолжить бизнес, надо подать заявление об остановки процесса ликвидации. Формы такого заявления сейчас нет. Но оно будет.

ФНС будет получать данные о загранпаспортах

МВД будет сообщать налоговикам сведения о выдаче россиянам загранпаспортов. Форму таких сведений утвердят.

Лучшие спикеры, новый каждый день

🙎 Бухгалтеры не понимают, как считать НДФЛ 15% и зачем ФНС сравнивает 6-НДФЛ с уведомлениями. Топ новостей за неделю

Мы собрали для вас самые важные бухгалтерские новости прошлой недели, которые вы могли пропустить.

Вклады

Банки начнут открывать вклады по биометрии

Взять кредит или открыть вклад будет можно без личного визита в офис банка, идентификацию клиентов будут проводить по биометрии.

Маркетинг

Цветы к 8 Марта подорожают на 15-20%

Из-за проблем с логистикой и высокого спроса средняя стоимость праздничного букета вырастет до 3,4 тысяч рублей.

101
Опытом делятся эксперты-практики, без воды

Как реагировать на критику клиентов и конкурентов? 5 моментов

Критика в бизнесе — не только неприятный момент столкновения с обратной связью покупателей и конкурентов, но и шанс на улучшения. Предприниматели должны уметь трезво оценить её и использовать для роста компании. Чтобы это сделать, можно воспользоваться следующим алгоритмом.

Как реагировать на критику клиентов и конкурентов? 5 моментов

Отчётность по РСБУ и МСФО: в чём отличия и что важно знать инвесторам

Если компания становится публичной и присутствует на бирже, она обязана раскрывать свою финансовую информацию. У нас чаще всего используются отчётности по РСБУ (российским стандартам бухгалтерского учета) и МСФО (международным стандартам финансовой отчетности).

Отчётность по РСБУ и МСФО: в чём отличия и что важно знать инвесторам
164
Новости ФНС

Как восстановить пароль от своего личного кабинета налогоплательщика

Иногда налогоплательщик не может войти в личный кабинет на сайте ФНС по причине утери пароля доступа. Пароль можно восстановить.

Сколько зарабатывает аналитик 1С без опыта

Обошли весь сайт hh.ru и нашли вакансии для начинающих аналитиков 1С. Оказалось, что в среднем выпускники курсов без опыта могут получать до 75 тыс. рублей, а стажеры около 40-50 тыс. рублей.

За год Роструд восстановил права 300 тысяч сотрудников

Работодатели погасили долги по зарплате на 12 млрд рублей, число жалоб от сотрудников на нарушение их трудовых прав сократилось на треть.

Законопроекты

Кабмин против того, чтобы производители крупно писали объем и вес продуктов

Правительство не согласилось с тем, чтобы информация о весе и объеме продуктов питания занимала не меньше 15% от площади упаковки или этикетки.

Миникурсы, текстовые и видеоинструкции для бухгалтеров
Банки

Банк «Точка»: все сервисы и услуги работают бесперебойно

В Трибуне «Клерка» пользователь написал пост, в котором постарался разобраться, что же произошло в результате отзыва лицензии у Банка КИВИ и как это повлияло на клиентов другого банка — «Точки». Пост получился жестким и набрал много комментариев, в которые заглянули и представители банка.

Обзоры новостей

⚡️Итоги дня: букет к 8 Марта обойдется в 3,2 тыс руб., колонку Алису отдели в пальто

Подготовили для вас дайджест главных событиями дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

2
154
Платежные системы

Contact удалили из реестра платежных систем Центробанка

Платежная система Contact, которая принадлежит QIWI банку, исключена из реестра ЦБ.

Зарплата

Сверхурочную работу будут оплачивать по-новому

Работодатели будут оплачивать сверхурочную работу исходя из зарплаты, включающей компенсационные и стимулирующие выплаты, а не только из голого оклада.

Инвестиции

На Мобирже начали продаваться акции алкогольной группы «Кристалл»

Компания привлекла на IPO 1,15 млрд рублей. Стоимость одной акции — 9,5 рублей.

Что бухгалтеры дарят мужчинам на 23 февраля. «Ночной бухгалтер» №1629

Носки, пена для бритья...это все не для дам-бухгалтеров. Они поздравляют своих мужчин куда как креативнее.

Иллюстрация: Вера Ревина / Клерк.ру
343

Внесите эти изменения в локальные акты, чтобы не оштрафовала ГИТ

В 2023 году Конституционный суд выпустил сразу шесть постановлений, которые касаются трудовых отношений. Узнайте, что нужно сделать работодателям, чтобы не нарушать основной закон страны.

Валютный контроль

ИП может не отчитываться за личный счет в банке Казахстана, но должен отчитаться за счет в Узбекистане

Физлица должны сдавать отчеты о движении средств по своим зарубежным счетам. Но есть нюансы для счетов в странах ЕАЭС.