Журнал "Information Security/ Информационная безопасность" #6, 2024

С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их соверше- ние. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании. Новые нормы вводят уголовную ответ- ственность за: l неправомерное использование, пере- дачу или хранение данных, полученных незаконным путем; l создание и обеспечение работы ресур- сов, предназначенных для сбора и рас- пространения таких данных; l нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персо- нальных данных. В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлек- ли тяжкие последствия. В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные. От чего зависит размер штрафа за утечку? Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные. 1. Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификато- ров – 3–5 млн руб. 2. 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5– 10 млн руб. 3. Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб. Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КОАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц. Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб. Если компания выявила факт утечки, она обязана в течение 24 часов уведо- мить Роскомнадзор, провести внутрен- нее расследование и в течение 72 часов подать итоговый отчет с указанием при- чин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб. Что же такое "идентификатор"? Нетрудно заметить, что размер штра- фа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов". Идентификатор, согласно КОАП, это уникальное обозначение сведений о физи- ческом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не впол- не понятным, как соотнести понятия "иден- тификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование. Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, кото- рая усложнит и затормозит рассмотре- ние административных дел. Смягчающие обстоятельства В принятых поправках написано, что назначается 1/10 от минимального раз- мера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий: 1. Расходы компании на ИБ за три года составляли не менее 0,1% от сово- купного размера суммы выручки. 2. Для выполнения работ по ИБ при- влекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии. 3. Есть документальные подтвержде- ния соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности. 4. Отсутствуют отягчающие обстоятель- ства (они тоже вводятся поправками). Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утеч- ку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распростра- няется на компании, использующие неле- гально приобретенные базы данных. Как минимизировать риски? Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем. Важные шаги: 1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор. 2. Утвердите нормативные документы, регулирующие работу с ПДн. 3. Объясните работникам, как пра- вильно обрабатывать персональные дан- ные и предотвращать утечки. 4. Внедрите сертифицированные системы защиты информации. Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обра- ботка избыточных ПДн должно стать невыгодным для компаний. Из новых правил вытекают высокие стандарты в области защиты персо- нальных данных. Для успешного соблю- дения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты. Памятку по новой ответственности в области персональных данных можно найти по ссылке 1 . 52 • СПЕЦПРОЕКТ Что нужно знать про новые штрафы в области ПДн? Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры” Фото: Городисский и Партнеры сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КОАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения. В На правах рекламы 1 https://www.gorodissky.ru/upload/articles/files/Personal_data_fines_2025.pdf