Безопасность в новых условиях

С 1 сентября этого года российские компании будут обязаны по запросу Минцифры передавать в обезличенном виде массивы персональных данных. Такое нововведение — один из этапов реализации поправок к Федеральному закону № 152-ФЗ «О персональных данных», вступивших в силу 30 мая 2025 года. «Новый компаньон» выяснил, какие изменения ждут россиян в связи с принятием законопроекта и как его оценивают пермские эксперты.

Штрафы выросли

Операторам персональных данных грозят крупные штрафы за действия (бездействие), если произошла незаконная передача персональных сведений граждан. Вводится более строгое наказание за непредставление Роскомнадзору некоторых уведомлений.

Если компания не уведомила об утечке, то ей может грозить штраф от 1 млн до 3 млн руб. В случае утечки информации о тысяче человек — от 3 млн до 5 млн руб., а если пострадавшими оказались десятки тысяч человек, то сумма штрафа вырастет до 10 млн руб. Максимальный штраф за компрометацию биометрии — до 20 млн руб.

Что касается компаний, допустивших повторную утечку персональных данных, то для них будут действовать большие оборотные штрафы — до 3%. Минимальная планка — 25 млн руб., а верхняя — 500 млн руб.

Что относится к персональным данным

Фактически это любая информация о личности: фамилия, имя, отчество; дата рождения; пол; номера, даты выдачи и другие данные документов (паспорт, полис, СНИЛС, ИНН и т. д.); гражданство; место проживания/пребывания; телефон; электронная почта; биометрия; место обучения и данные диплома; информация о здоровье (результаты анализов, посещения специалистов и т. д.); семейное положение. К персональным данным также относятся место работы, размер зарплаты, должность и опыт работы; банковские реквизиты (номер карты, расчётный счёт и т. д.).

Юристы объясняют, что изменения в сфере персональных данных в первую очередь касаются организаций, которые получают персональные данные россиян. То есть это практически все компании, от небольшого салона ногтевого сервиса до крупного предприятия, поскольку личная информация предоставляется работниками, клиентами и сотрудниками контрагентов.

Как пояснила «Новому компаньону» пермский адвокат Анастасия Шардакова, увеличились не только штрафы за утечку персональных данных: предусмотрена также уголовная ответственность за распространение персональных данных и получение доступа к ним незаконным путём. Компании, которые не получали согласие клиентов, но собирали данные для информационных или рекламных рассылок, также понесут ответственность.

«Повышение ответственности призвано остановить злоупотребления в сфере персональных данных, ограничить работу «сервисов», которые незаконно собирали и продавали персональные данные граждан. Например, в некоторых телеграм-ботах можно было купить информацию практически о любом человеке: его паспортные данные, номер телефона, в каких банках у него открыты счета и прочее», — рассказала эксперт.

Она добавила, что гражданам важно помнить о возможности отзывать свои персональные данные у любых организаций: банков, бывших работодателей, учебных заведений.

Как будут собирать данные

Чтобы выполнить это требование, операторы должны передать данные в государственную информационную систему (ГИС) уполномоченного органа в сфере регулирования информационных технологий. При этом не нужно передавать биометрию и информацию о состоянии здоровья человека. В то же время субъекты персональных данных, чьи обезличенные изображения лица и записи голоса подлежат обработке в региональной информационной системе, будут вправе заявить возражения против передачи их персональных данных.

Пользователями ГИС уполномоченного органа в сфере регулирования информационных технологий являются госорганы и подведомственные им организации, муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов; граждане РФ и российские юрлица, которые включены правительственной комиссией в перечень лиц, имеющих право на доступ к ГИС.

Управляющий партнёр юридической компании «Технологии обжалования» юрист Илья Дёмин отмечает, что теперь почти все организации, ИП и самозанятые обязаны уведомлять РКН о начале обработки персональных данных, об изменениях и утечках.

«Бизнес испытывает тревогу от этих изменений, но на самом деле процедура подачи уведомлений простая. Нужно заполнить форму на сайте РКН, где требуется в основном проставить «галочки» и выбрать из списков, есть подсказки. Заполнение формы занимает около часа», — рассказал Дёмин.

Это мнение поддерживает адвокат, патентный поверенный и партнёр Адвокатского бюро «Ахметов, Хозяйкин и Партнёры» Валерия Буркова. Однако, по её словам, «главное — это не только своевременно уведомить Роскомнадзор, но и в последующем исполнять обязательства по обеспечению сохранности персональных данных, перечисленные в данном уведомлении».

Позиция законодателя

В Госдуме считают, что в последнее время утечки данных превратились в системную угрозу, а миллионы строк, которые «утекли» в Сеть, — это не просто цифры, а «миллионы людей, чьи имена, телефоны, адреса могли попасть в руки мошенников». Поэтому принятый законопроект — «полноценный экономический стимул серьёзно заниматься информационной безопасностью». Такую позицию занимает, например, депутат Госдумы от Пермского края Антон Немкин.

«Мы долго шли к этим мерам. Теперь бизнесу ясно: не вложился в защиту данных — заплатишь дорого. Это давно назревшая мера, так как защищать граждан символическими штрафами просто невозможно. Нужны ощутимые последствия. И они теперь есть», — отмечает парламентарий.

В то же время депутат поясняет, что важно понимать: штрафы — лишь часть комплексной политики, и поэтому без регулярных аудитов информационной безопасности и повышения цифровой грамотности сотрудников закон не спасёт.

Валерия Буркова также отмечает, что принятие изменений в федеральный закон вызвано участившимися утечками персональных данных, поэтому законодатель в превентивных целях решил усилить контроль и, как следствие, ответственность операторов персональных данных.

«Нужно понимать, что эти нововведения напрямую не касаются прав и свобод граждан. Эти нормы — для специальной категории, а именно для лиц, осуществляющих сбор, обработку и хранение персональных данных», — добавила юрист.

На что повлияют изменения

Илья Дёмин отмечает, что в краткосрочной перспективе эти изменения мало на что повлия­ют и, хотя в преддверии штрафов компании экстренно подали уведомления в РКН, «это скорее формальность, то есть лучше защищать персональные данные граждан они от этого не стали».

Кроме того, вводимые изменения пока не избавят клиентов от недоверия: кто-то не знает, а кто-то не верит в новые механизмы, считает юрист.

Анастасия Шардакова обратила внимание на то, что сбор большого объёма обезличенных персональных данных в теории позволит анализировать эти данные для получения какого-то общего «портрета», анализировать определённые сферы деятельности.

«Например, это даст возможность посчитать реальное количество граждан, проживающих в Перми, ведь не все зарегистрированные в краевой столице люди живут именно здесь. Есть соцопросы, которые позволяют делать статистические выводы, но от соцопроса можно отказаться, и тогда информация не будет полной, а здесь из разных источников можно получить пусть и обезличенную, но более или менее объективную информацию», — пояснила Шардакова.

Сейчас сложно спрогнозировать, возникнут ли новые способы злоупотреблений в этой сфере, это станет понятно в процессе работы ГИС и передачи данных для неё, считает эксперт, но в любом случае организации будут обязаны передавать персональные данные по запросу регулятора, чего ранее не было.

Сколько «слито» в Сеть

По данным Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России, за шесть месяцев этого года было зафиксировано 35 утечек персональных данных, скомпрометировавших более 39 млн записей.

В прошлом году Роскомнадзор зафиксировал 135 случаев утечки баз данных. Тогда в Сеть были «слиты» более 710 млн записей о россиянах. При этом самая масштабная утечка произошла в феврале 2024 года, когда в Интернет ушло 500 млн строк данных о жителях страны.

В этом году по фактам утечек персональных данных составлено шесть протоколов об административных правонарушениях по статье 13.11 КоАП РФ — «Нарушение законодательства РФ в области персональных данных». Некоторые организации уже получили штрафы и преду­преждения.

В связи с этими фактами правоохранительные органы рекомендуют регулярно обновлять пароли — не реже одного раза в три месяца — в своей почте, банках и соцсетях.

«Что касается утечек персональных данных: если раньше компании несли в основном репутационные потери, то сейчас это грозит ещё и значительным штрафом. Так, организация заплатит от 3 млн до 500 млн руб., если не сообщит об утечке. Это влияет на подход, уже сейчас компании начинают обращаться за аудитом их бизнес-процессов по обработке персональных данных клиентов и политики конфиденциальности. Поэтому в будущем нововведения всё-таки способны заставить компании ответственно подходить к защите персональных данных граждан и превентивно бороться с утечками. То есть заранее выявлять и устранять уязвимости в системах, контролировать доступ к данным, внедрять средства шифрования и регулярно обучать персонал основам кибергигиены, чтобы минимизировать саму возможность инцидента», — рассказал Илья Дёмин.

Как отмечают в Роскомнадзоре, оценить эффективность нововведений в законодательстве в этой сфере можно будет только после значительного периода их применения, примерно через полтора-два года.