Антон Антропов - Технический директор IT Task. Утечки персональных данных — один из главных рисков для бизнеса в 2025 году. Компании, допустившие утечку, могут столкнуться с крупными штрафами, падением доверия клиентов и репутационными потерями. В 2024 году Госдума приняла закон №420-ФЗ, усиливающий ответственность бизнеса: штрафы могут достигать 500 млн рублей или 3% от годового оборота.
Новый уровень ответственности, или почему государство ужесточает правила защиты За последние два года в России зафиксирован резкий рост утечек данных. Только за январь — февраль 2025 года Роскомнадзор обнаружил в открытом доступе 24 млн записей. Компании все чаще становятся жертвами утечек из-за хакерских атак и внутренних ошибок сотрудников. За первые месяцы 2025 года было зафиксировано 19 фактов распространения в интернете баз данных, по данным фактам составлено 5 протоколов об административном правонарушении, которые приводят к финансовым и репутационным потерям операторов персональных данных. На фоне этих событий Федеральный закон от 30.11.2024 г. № 420-ФЗ вводит новые меры ответственности для операторов персональных данных. Подробнее об ответственности и оборотных штрафах за утечку данных Цель законопроекта — ввести реальную ответственность за инциденты, чтобы побудить компании инвестировать в информационную безопасность и защищать данные своих клиентов. Рассмотрим его ключевые пункты. 1. Штрафы для бизнеса:
до 500 млн рублей — за утечку персональных данных; до 3% от оборота компании (не менее 20 млн рублей) — за повторные нарушения; до 700 тыс. рублей — если компания скрывает утечку от клиентов.
2. Штрафы для руководителей:
до 300 тыс. рублей — для должностных лиц, допустивших утечку.
При этом статья 4.1 «Общие правила назначения административного наказания» дополнена частью 34-2, которая смягчает санкции при утечке специальных или биометрических персональных данных. Размер штрафа снижается до 0,1 от его минимального размера за соответствующее нарушение, но может составлять не менее 15 миллионов рублей и не более 50 млн рублей, если выполнены одновременно следующие условия:
Ежегодные расходы оператора в течение 3 предыдущих лет на обеспечение информационной безопасности с помощью лицензированных организаций составляли не менее 0,1% от годовой выручки. Документально подтверждено, что за предшествующий год оператор соблюдал законодательные требования к защите персональных данных при их обработке в информационных системах персональных данных. Ранее у организации не было нарушений в части сбора и обработки персональных данных, своевременных оповещений Роскомнадзора. А также были соблюдены правила информирования граждан о политике оператора в отношении работы с ПДн и уничтожения/блокирования ПДн в информационных системах по требованию.
Рекомендации для компаний: как минимизировать размер сливаемых персональных данных и штрафа Для предотвращения утечки ПДн и минимизации связанных с этим финансовых и репутационных потерь рекомендуется выполнять следующие меры. 1. Усиление внутренней безопасности:
разработайте и утвердите политику обработки ПДн; назначьте ответственного за информационную безопасность (DPO); проводите ежегодные аудиты безопасности; ограничьте доступ к персональным данным только тем сотрудникам, которым это необходимо для выполнения их обязанностей.
2. Современная техническая защита данных:
внедрите системы предотвращения утечек (DLP, NGFW, XDR); настройте шифрование данных (при передаче и хранении); регулярно обновляйте программное обеспечение; применяйте VPN для безопасного удаленного доступа.
3. Регулярное обучение персонала:
проводите тренинги по защите персональных данных; обучайте сотрудников распознавать фишинговые атаки и другие методы социальной инженерии.
4. Реакция на инциденты:
разработайте и протестируйте план реагирования на утечки; уведомляйте клиентов и регуляторов о фактах утечки в срок.
5. Контроль подрядчиков:
проверяйте безопасность партнеров, работающих с ПДн; заключайте соглашения о конфиденциальности (NDA).
Эти меры важно внедрять в компанию уже сейчас: помните, информационная безопасность — это эшелонированный набор действий. Подводим итоги. Будущее российского законодательства в ИБ Ожидается, что дальнейшее развитие законодательства о защите персональных данных в России произойдет в течение 3–5 лет и резких изменений не предвидится. На мой взгляд, одним из ключевых факторов станет развитие искусственного интеллекта, который может оказать значительное влияние на законодательные инициативы. Это связано с тем, что уже сейчас наблюдается рост использования дипфейков и других технологий, которые могут создавать ложные данные, что в свою очередь может привести к подставам для бизнеса и наложению штрафов. Сейчас оборотные штрафы должны побудить компании задуматься, что выгоднее: инвестировать в кибербезопасность или платить огромные деньги за ИТ-инциденты. Кроме того, считается, что такие меры административного наказания окажут превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных. В итоге должно значительно снизиться количество утечек личной информации граждан.
Свежие комментарии