Диалоги о КЭДО. Оборотные штрафы за утечки персональных данных

Материал дублирует видеоподкаст «Диалоги о КЭДО» и будет удобен тем, кто предпочитает читать.

Спикеры:

Айрат Сибгатуллин

директор продукта Directum HR Pro

Александр Быков

руководитель проектов развития бизнеса Directum

Айрат Сибгатуллин: Что поменялось с принятием нового закона?

Безопасный обмен электронными документами в КЭДО — простые принципы Александр Быков: В области защиты персональных данных практически ничего не поменялось. Никаких изменений в 152-ФЗ «О персональных данных» не было внесено, не было правок к значимым подзаконным актам. Тем не менее существенно повысились штрафы за нарушения в этой области.

Айрат Сибгатуллин: Закон подписан 30 ноября 2024 года. А когда изменения вступают в силу?

Александр Быков: С 30 мая 2025 года, то есть времени осталось совсем мало.

Айрат Сибгатуллин: Что меняется для операторов персональных данных?

Александр Быков: Для них не меняются меры, которые они должны предпринимать при обработке персональных данных. Но наказания становятся серьезнее. Раньше они были как укус комара: штраф в 60 тыс. руб. — незначительная сумма для компании с оборотом в десятки миллиардов рублей. Теперь это весьма чувствительный удар дубиной для компании любого масштаба.

Айрат Сибгатуллин: Как ты оцениваешь нововведение?

Александр Быков: Как любое изменение в законе, его можно оценить с нескольких точек зрения. Рассмотрим с позиции обычного гражданина, субъекта персональных данных. Когда нам звонят мошенники, называют по имени, знают в каком банке у нас открыта [банковская] карточка, они не придумали эту информацию. Она утекла из базы какого-то бизнеса или интернет-магазина. А были ли причины у этого магазина защищать данные? К чему привела утечка персональных данных одного гражданина, двух, десяти, даже тысячи? Скорее всего, она никак не сказалась на бизнесе.

Если говорить об имиджевых рисках, то это эфемерное понятие. В ноябре 2024 года стало известно об утечке у одного очень крупного ритейлера. Как это повлияло на посещаемость его магазинов? Да никак. Скорее всего, клиенты даже не слышали об этой утечке. Но если и знают, они привыкли [покупать там товары] и не перестанут посещать магазин.

Получается, для субъектов это скорее положительное изменение в законе, а вот для бизнеса — новые затраты и усилия, которые явно не дают дополнительной прибыли.

Айрат Сибгатуллин: Говоря про наказание, на твой взгляд, насколько оно строгое и есть ли определенные смягчения?

Александр Быков: Наказания весьма строгие. Конкретные цифры лучше почитать в самом законе и составах правонарушений, за которые эти штрафы предусмотрены.

Минимальный размер наказания для компаний составит от 3 млн руб. при утечке от 1 тыс. до 10 тыс. идентификаторов. Максимальный штраф будет назначен в случае утечки 1 млн идентификаторов и более: компаниям грозят штрафы до 15 млн руб. при первом нарушении и до 3% от суммы выручки при повторном.

Смягчающие обстоятельства тоже есть, в их числе использование одной десятой доли оборота компании на принятие мер по информационной безопасности. В этом случае штрафы не будут такими высокими.

Айрат Сибгатуллин: Главный вопрос, который сейчас всех интересует: что делать?

Александр Быков: Как всегда, нужно предпринимать меры. Скорее всего, в организациях уже есть какие-то локальные нормативные акты, «бумажная» безопасность, набор документов, который лежит на полке для проверяющего. Нужно снять с полки эти документы и прочитать, что в них написано. Вероятно, там перечислены действия, которые нужно выполнить. Например, провести киберучения. Посмотреть, как будут действовать люди в момент утечки, что они сейчас делают, чтобы предотвратить ее.

С вступлением в силу закона нарушения будут выявляться не во время проверок Роскомнадзора, а в реальной жизни. Например, в даркнете на специализированном форуме будет выложена база данных какого-то оператора. Это повод Роскомнадзору отреагировать. Кстати, в этом случае будут дополнительные штрафы не только за саму утечку, но и за то, что оператор не сообщил о ней.

Айрат Сибгатуллин: Скажи, пожалуйста, чего ожидать в ближайшее время?

Александр Быков: Нужно понять, насколько быстро и неотвратимо будет работать нововведение, каким образом будет действовать Роскомнадзор, как отреагируют операторы и как будут применяться те самые смягчающие поправки, которые предусмотрены в законе.

Айрат Сибгатуллин: И, наверное, ожидаем появления определенной судебной практики.

Александр Быков: Да, судебной практики, разъяснений Роскомнадзора, обычно он делится результатами своих проверок. Естественно, если будут судебные дела, тоже интересно на них посмотреть.

Айрат Сибгатуллин: В завершение — про обеспечительные меры. Требования информационной безопасности можно закрывать абсолютно разными способами, можешь об этом подробнее рассказать. Наверное, это те вещи, которыми стоит заниматься именно сейчас.

Александр Быков: Сейчас мы можем предположить, что попадет в методику расчета той самой десятой доли процента, которую организация может тратить на информационную безопасность. Скорее всего, туда будут включены средства обеспечения информационной безопасности: антивирусы, межсетевые экраны и т. д. — то, что напрямую относится [к информационной безопасности].

Попадут ли в эти затраты зарплаты специалистов по информационной безопасности, услуги сторонних организаций? Очень интересно узнать.

Айрат Сибгатуллин: Мы прекрасно понимаем, что средства защиты могут закрыть не всё. Условно, некая прикладная информационная система уже внутри себя должна содержать определенные средства защиты. Всё верно?

Александр Быков: Верно. Есть средства защиты, функции безопасности, которые может выполнить только прикладная система. Например, разграничение доступа в зависимости от роли человека, его должности и обязанностей. Ни антивирус, ни межсетевой экран этого не могут. Такая мера выполняется только в информационной системе и напрямую влияет на безопасность, в том числе персональных данных. Поэтому было бы справедливо включить в затраты [на информационную безопасность] приобретение и внедрение отечественных информационных систем с подтвержденными функциями информационной безопасности.

Айрат Сибгатуллин: В HR Pro мы всегда ставили безопасность во главу угла и с принятием закона лишний раз убедились, что наша стратегия верна. Используйте HR Pro и бережно храните персональные данные ваших сотрудников.