В мае 2025 года вступил в силу так называемый «Закон об оборотных штрафах»: поправки в Кодекс об административных правонарушениях, которые в несколько раз увеличивают объемы ответственности за нарушения с персональными данными. Согласно открытым данным судов и заявлениям властей, «оборотные» штрафы за утечку пока не применялись.
Пока не сложилась практика применения этого закона, зато появились мифы о санкциях за утечку ПДн. Рассмотрим наиболее распространенные ошибки в понимании нового закона.
Миф 1. Серьезные штрафы начинаются со второй утечки, а в госорганизациях риска штрафов нет
Штраф в размере доли от выручки компании действительно предусмотрен для компаний, которые допускают нарушения с ПДн второй или более раз за год. Однако наказание за первую утечку также весьма серьезно. В зависимости от состава пострадавших данных, бизнесу грозит штраф на сумму от 150 000 до 20 000 000 рублей. Особый риск эти санкции представляют для малых предприятий — размер штрафа даже при первом инциденте достигает для них 2,5% годовой выручки.
Штрафы для юридических лиц по новой редакции КоАП не применяются к государственным и муниципальным органам и учреждениям. Однако в этом случае за инцидент будут расплачиваться сотрудники, ответственные за обработку персональных данных, причем из своего кармана. Штрафы для них, в зависимости от состава скомпрометированных данных, составляют 50 000 — 1 500 000 рублей. Суммы не малые для госслужащих.
Миф 2. Выбор из двух вариантов: платить штрафы или внедрять ИБ
Выбор, действительно, есть, но варианта «не внедрять ИБ» в нем нет. Установить ИБ-средства можно превентивно (до инцидента) или уже после того, как нарушение произойдет и компанию оштрафуют. Мнение о том, что ИБ-нарушения каким-то компаниям не грозят, ошибочно. Исследования и практика показывают, что 96% российских компаний подвержены тем или иным рискам ИБ, объем утечек информации увеличивается, а инциденты происходят в организациях любых размеров и отраслей.
Внедрять ИБ-решения придется в любом случае, даже если компания уже заплатила штраф за инцидент. Согласно действующему закону, назначение наказания не снимает с нарушителя его обязанностей. Если организацию штрафуют за утечку, это не значит, что она не должна защищать персональные данные. Возможна, скорее, обратная ситуация: суд назначает штраф, а Роскомнадзор дает компании предписание об устранении нарушений, невыполнение которого тоже штрафуется.
Миф 3. В случае первой утечки вложения в ИБ не помогут снизить штраф
Новая редакция закона предполагает снижение «оборотного» штрафа в случае, если организация подтверждает, что на протяжении трех лет несла определенные затраты на ИБ. Однако вне зависимости от того, первая ли утечка произошла или повторная, организация может ссылаться на общие смягчающие обстоятельства, предусмотренные КоАП.
Среди них, например, помощь в установлении обстоятельств нарушения. В случае ИБ-инцидента это может быть, например, самостоятельное расследование нарушения с передачей в контролирующие органы подробной информации об утечке, ее причинах, сопутствующих событиях и последствиях.
Если организация предотвратила негативные последствия нарушения и добровольно исполнила предписания регулятора об его устранении, это тоже смягчит наказание. В случае с утечкой это может быть, например, устранение уязвимости, из-за которой произошёл инцидент или внедрение дополнительных технических мер защиты ПДн. Таким образом, реализация ИБ-мероприятий позволяет организациям пользоваться смягчающими обстоятельствами во всех делах, связанных с ИБ-инцидентами. Это подтверждается судебной практикой.
Миф 4. Даже если инцидент произошел по вине сотрудника, отвечать в любом случае будет организация
Это не так: статья 13.11 КоАП прямо говорит о том, что административные штрафы, в том числе на организации, налагаются только в том случае, если инцидент не имеет признаков преступления. Если сотрудник, например, умышленно выгрузил данные и использовал их в своих целях, например, занимался «пробивом», ответственность за инцидент понесет он, а организация будет признана потерпевшей в рамках уголовного дела.
Но для того, чтобы добиться возбуждения уголовного дела в отношении виновника инцидента, компании необходимо провести внутреннее расследование, изучить обстоятельства утечки, найти причастных к ней и собрать доказательства их вины. Эти материалы необходимо передать в правоохранительные органы вместе с заявлением о преступлении по ст. 272, 272.1 или, если персональные данные защищены режимом коммерческой тайны, по ст. 183 УК РФ. Параллельно необходимо включить в отчет об утечке для Роскомнадзора информацию о том, что установлена причастность к инциденту конкретного сотрудника.
Исследования судебной практики показывают, что такая стратегия работает. Суды закрывают административные дела в отношении компаний, которые признаны потерпевшими от преступных действий сотрудников. Даже если компания только обратилась в правоохранительные органы, а уголовное дело еще не возбуждено или компания не признана потерпевшей, худший сценарий для нее — предупреждение или минимальный штраф по административному делу.
Миф 5. Лучший способ избежать ответственности — «обложиться» регламентами и сертификатами о соответствии
Несмотря на то, что контролирующие органы и суды обращают внимание на наличие внутренних документов о работе с ПДн и заключений о соответствии
Во-первых, если говорить об оценке соответствия компании требованиям закона «О персональных данных», то в ее рамках проверяется и выполнение ИБ-задач.
Состав этих средств отличается в зависимости от специфики организации и состава персональных данных в работе. Но, согласно требованиям постановления Правительства № 1119 и приказов ФСТЭК, в любых информационный системах ПДн необходимо обеспечить как минимум защиту от вирусов, идентификацию и аутентификацию пользователей, контроль установки и работы ПО, регистрацию событий безопасности. Все это — прикладные, технические ИБ-меры, и без их реализации невозможно подтвердить соответствие регуляторным требованиям.
Во-вторых, использование технических средств минимизирует вероятность утечек и позволяет выявлять их предпосылки на ранних стадиях. Например, если попытка пересылки персданных будет зафиксирована и вовремя заблокирована, то такой инцидент не повлечет ответственности компании. Даже если утечка произойдет, но компании удастся ее пресечь до того, как посторонние получат доступ к данным, это будет основанием для прекращения дела по малозначительности.
Немного рекомендаций
Вот несколько советов, как снизить риск штрафов:
- Проведите аудит файловой инфраструктуры. Определите, на каких ресурсах у вас хранятся персональные данные, не истек ли срок их обработки, кто имеет доступ к ним. Уничтожьте устаревшие, дублирующие и ненужные данные — их утечка тоже чревата штрафом.
- Организуйте защищенное хранение персональных данных. Минимизируйте объем ПДн на конечных устройствах пользователей, переместите информацию в сетевые папки на серверах компании. Файлы, хранящиеся там, проще контролировать и управлять доступом к ним.
- Минимизируйте возможность случайной утечки: заблокируйте пересылку и выгрузку персональных данных на съемные носители без пароля или криптозащиты, установите запрет на обмен персональными данными по некорпоративным каналам связи. Такие меры помогут избежать утечки из-за ошибки или неосторожности сотрудников, а это самый распространенный сценарий внутренних инцидентов.
- Проводите регулярное ИБ-обучение сотрудников, работающих с персональными данными. Это нужно, чтобы снизить риски, связанные с социальной инженерией, фишингом и внешними атаками. Гарантировать отсутствие таких атак невозможно, но снизить риск того, что сотрудник отправит данные или откроет доступ злоумышленнику — вполне реально. Рассказывайте в понятном и «живом» формате о том, что такое персональные данные, чем грозит их утечка, с какими уловками могут столкнуться рядовые пользователи и как их избежать, проводите учебные фишинговые рассылки и тренинги. Это можно делать силами штатной службы безопасности или ИБ, либо привлекать сторонних экспертов.
