4 декабря в Госдуму РФ были внесены поправки в КоАП и Уголовный кодекс, чтобы ужесточить ответственность за нарушения при работе с персональными данными. Это направлено на защиту прав и конфиденциальности граждан, но грозит огромными штрафами для физлиц и бизнеса — до 15 и 700 тысяч рублей соответственно.
Там, где раньше был штраф 60 000 рублей, теперь может достигать 15 000 000 рублей или даже 500 000 000 рублей.
Среди авторов законопроекта указаны сенаторы Андрей Турчак и Андрей Клишас, депутат Госдумы Александр Хинштейн и другие.
Зачем нужен новый закон
В настоящее время компании, допустившие утечки персональных данных, могут быть оштрафованы на сумму до 100 тысяч рублей и до 300 тысяч рублей при повторном нарушении. Однако, такие штрафы, по мнению авторов поправок, не соответствуют возможным последствиям от таких утечек.
При попадании в руки злоумышленников, персональные данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и других преступлений. Поэтому, новые поправки должны стимулировать компании инвестировать в информационную безопасность и защиту данных своих пользователей.
Андрей Турчак в сообщении «Единой России»:
«За последние годы количество утечек возросло, поэтому повышение ответственности бизнеса является необходимым шагом»
«Бизнес должен осознать, что персональные данные – это не источник заработка, а ценность, которую необходимо тщательно охранять»
Штрафы за утечку персональных данных
Новый законопроект предусматривает огромные штрафы за утечки, вплоть до 15 000 000 рублей по ряду нарушений.
| Вид нарушения | Штраф |
| Утечка персданных 1 000 — 10 000 граждан | От 3 000 000 до 5 000 000 рублей для бизнеса и ИП |
| Утечка персданных 10 000 — 100 000 граждан | От 5 000 000 до 10 000 000 рублей для бизнеса и ИП |
| Утечка персданных более 100 000 граждан | От 10 000 000 до 15 000 000 рублей для бизнеса и ИП |
| Повторное нарушение | От 0,1 до 3% выручки за прошлый год или часть текущего года, но не менее 15 000 000 руб. и не более 500 000 000 руб. |
| Утечка медицинских данных | От 10 000 000 до 15 000 000 рублей для бизнеса и ИП |
| Незаконный сбор, хранение и использование | Уголовная ответственность Усиление ответственности при сговоре и коммерческом использовании данных |
| Незаконное использование, передача или сбор персональных данных, полученных неправомерным путем | До 300 000 рублей / Принудительные работы / Лишение свободы до 4 лет |
Как происходит утечка персональных данных
Существует несколько способов, как персональные данные могут стать общедоступными:
- Утечка данных: это может произойти из-за недостаточной защиты данных внутри компании. Например, если данные хранятся на незащищенном сервере или передаются по незащищенным каналам связи.
- Кибератака: компания может стать жертвой кибератаки, когда злоумышленники взламывают систему и получают доступ к персональным данным.
- Несанкционированный доступ: это может произойти, если сотрудник компании несанкционированно получает доступ к данным клиентов или сотрудников.
- Кража: персональные данные могут быть украдены кем-то из сотрудников компании или внешними лицами.
- Недобросовестное использование: некоторые сотрудники могут намеренно или случайно использовать персональные данные клиентов или сотрудников без их согласия.
В любом случае, компании должны обеспечивать надежную защиту персональных данных и принимать меры для предотвращения их утечки или несанкционированного использования.
Как защититься от утечки персональных данных
Защита персональных данных — это очень важный аспект в современном цифровом мире. Вот несколько рекомендаций, которые помогут вам защититься от утечки персональных данных:
- Сильные пароли: используйте уникальные и сложные пароли для всех своих онлайн-аккаунтов. Избегайте очевидных или легко угадываемых паролей.
- Двухфакторная аутентификация: включите двухфакторную аутентификацию для всех аккаунтов, где это возможно. Это добавит дополнительный уровень защиты.
- Обновление программного обеспечения: регулярно обновляйте операционную систему, приложения и антивирусное программное обеспечение на своих устройствах. Это поможет исправить уязвимости и обеспечить безопасность.
- Осторожность в сети: будьте осторожны при открытии ссылок и загрузке файлов из ненадежных источников. Избегайте сомнительных сайтов и подозрительных запросов.
- Конфиденциальность на публичных форумах: будьте осторожны при разглашении персональной информации на публичных форумах или социальных сетях. Ограничьте доступ к своим профилям и настройте конфиденциальность на максимум.
- Использование надежных сервисов: выбирайте надежные и проверенные сервисы для хранения и обработки ваших персональных данных.
- Бережное обращение с почтой и документами: будьте осторожны при обработке почты и документов, содержащих персональные данные. Убедитесь, что они хранятся в надежном месте и доступны только авторизованным лицам.
- Обучение и информирование: обучайте себя и своих сотрудников основам информационной безопасности и регулярно информируйте их о последних угрозах и методах защиты.
Помните, что защита персональных данных — это задача, требующая постоянного внимания и обновления. Будьте бдительны и следуйте рекомендациям, чтобы минимизировать риск утечки ваших персональных данных.
Что делать при утечке персональных данных
В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте утечки. Далее последует проверка Роскомнадзора и, вероятнее всего, возбуждение дела об административном правонарушении.
До настоящего момента нарушение признавалось редко, так как виновные пытались доказать, что факт утечки персональных данных является обработкой персональных данных в не предусмотренных законом случаях.
Кроме того, по закону компания должна использовать все доступные методы для сохранности данных. Поэтому при утечке Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Далее суд должен установить, что методы защиты были, а компания их проигнорировала. На практике процедура получается весьма сложная. Привлекаемое лицо при этом занимает пассивную позицию, процесс растягивается без существенного продвижения.
Ещё один сценарий — компания заявляет, что стала жертвой мошенников, вирусов и хакеров. Они получили доступ к информации незаконно с использованием вредоносных компьютерных программ. При этом аппелируя к тому, что вина организации отсутствует, так как причиной утечки персональных данных стали неправомерные действия третьих лиц.
Но на практике этот сценарий не работает. Типичный ответ судей: «То обстоятельство, что обработка (распространение) персональных данных связана с несанкционированным доступом к информации, не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ».
Громкие суды — утечка в Гемотест
Утечка произошла в мае 2022 года: в сеть утекла база данных, записи которой совпадают с клиентами «Лаборатории Гемотест», хранившимся в информационной системе «Gemotech». Саму базу нашли на сайтах-перекупщиках баз данных, где она была размещена для продажи.
Данные, которые оказались доступными на черном рынке: ФИО; дата рождения; пол; адрес; СНИЛС; сведения, указанные в документе, удостоверяющем личность; адрес электронной почты; номер телефона; сведения об оказанных медицинских услугах.
Мировой судья, рассматривавший дело в первой инстанции, указал, что факт несанкционированного доступа к персональным данным, который подтвержден материалами служебной проверки и отчетом IT-компании, не влияет на квалификацию действий самой лаборатории.
Также суд указал на то, что Гемотест «самостоятельно и намеренно» предоставил доступ к данным.
На этапе апелляции решение суда осталось неизменным.
Итог — штраф согласно ч. 1 ст. 13.11 КоАП в размере 60 000 рублей. Но это было в 2022 году. По новому законопроекту такое нарушение могло бы повлечь штраф
- от 10 000 000 до 15 000 000 рублей, если утечка медицинских данных не будет признана,
- от 25 000 000 (0,1% выручки ООО «Лаборатории Гемотест» за 2021 год) до 500 000 000 рублей в случае утечки медицинской информации.
Как злоумышленники используют наши персональные данные
Злоумышленники могут использовать персональные данные для различных целей, включая:
- Спам и фишинг: они могут использовать ваши данные для отправки нежелательной почты, включая спам и фишинговые попытки. Они могут пытаться получить доступ к вашим финансовым данным или другим чувствительным сведениям.
- Мошенничество: злоумышленники могут использовать ваши персональные данные для совершения мошеннических действий, таких как покупка товаров на ваше имя или открытие фальшивых банковских счетов.
- Вымогательство: они могут использовать ваши данные для шантажа и вымогательства, угрожая раскрыть или использовать информацию против вас.
- Кража личности: злоумышленники могут использовать ваши персональные данные для создания поддельных удостоверений личности или для открытия новых финансовых счетов на ваше имя.
- Целевые атаки: они могут использовать персональные данные, чтобы настроить целевые атаки на вас или вашу компанию, например, взламывая ваши учетные записи или устанавливая вредоносное программное обеспечение на ваши устройства.
- Нежелательная реклама: злоумышленники могут использовать ваши данные для создания персонализированной рекламы или рассылок, которые вам не нужны.
Злоумышленники могут использовать персональные данные для различных видов мошенничества, кражи личности и нанесения вреда вашей репутации. Поэтому очень важно обеспечить надежную защиту своих персональных данных и быть осторожным при их раскрытии.
