- Введена оборотная ответственность за крупные утечки — до 3% годовой выручки компании
- О факте утечки персональных данных необходимо уведомить РКН в течение 24 часов
- За тяжёлые последствия и незаконный оборот данных возможна уголовная ответственность — до 10 лет лишения свободы
- Штраф за несвоевременное уведомление Роскомнадзора — до 300 000 рублей
- Наличие внутренних регламентов, журналов и средств защиты помогает смягчить ответственность
Что изменилось с 2024 года
В 2024 году вступили в силу поправки, усиливающие ответственность за утечки персональных данных.
Основные изменения:
- Оборотные штрафы — от 0,1% до 3% годовой выручки
- Уголовная ответственность — до 10 лет лишения свободы
- Отдельный состав за несвоевременное уведомление Роскомнадзора
- Усиление контроля за крупными операторами и подрядчиками
Для компаний с выручкой от 1 млрд рублей оборотный штраф за утечку может составить десятки миллионов рублей.
Какие утечки считаются критичными
Наиболее серьёзно оцениваются:
- утечки паспортных данных;
- базы клиентов с телефонами и email;
- медицинские данные;
- биометрия;
- финансовая информация;
- массовые утечки через подрядчиков и облачные сервисы.
Даже если утечка произошла по вине подрядчика, ответственность перед субъектами персональных данных и РКН всё равно несёт оператор.
Обязанность уведомить РКН за 24 часа
После обнаружения инцидента оператор обязан действовать немедленно.
В течение 24 часов:
- уведомить РКН о факте утечки;
- описать характер инцидента;
- указать категории затронутых данных;
- сообщить предполагаемые причины компрометации.
В течение 72 часов:
- направить результаты внутреннего расследования;
- сообщить о принятых мерах;
- уведомить субъектов, если есть риск нарушения их прав.
- Разработан и утверждён план реагирования на инцидентыобязательно
- Определён ответственный за уведомление РКНобязательно
- Настроен мониторинг несанкционированного доступа
- Ведётся журнал инцидентов и действий сотрудников
- Подготовлены шаблоны уведомлений субъектам ПД
Уголовная ответственность
В тяжёлых случаях возможна не только административная, но и уголовная ответственность.
Основания:
- незаконный оборот персональных данных;
- продажа или распространение баз;
- умышленная передача данных третьим лицам;
- тяжкие последствия для субъектов ПД.
При крупных утечках с корыстным мотивом или причинением существенного вреда ответственность может достигать 10 лет лишения свободы.
Примеры ситуаций из практики
Интернет-магазин с утечкой базы клиентов
Компания использовала CRM без ограничения доступа. Один из сотрудников выгрузил базу клиентов и передал третьим лицам.
Последствия:
- уведомление РКН;
- жалобы клиентов;
- проверка;
- административный штраф;
- увольнение сотрудника и внутреннее расследование.
Фрилансер хранит заявки в открытой таблице
Самозанятый специалист собирал заявки через Google Forms, ссылка на таблицу оказалась публичной.
Последствия:
- жалоба клиента;
- требование удалить данные;
- риск штрафа за отсутствие мер защиты и политики обработки ПД.
Подрядчик допустил утечку
Маркетинговое агентство получило базу клиентов для рассылки и допустило компрометацию данных.
Последствия:
- претензии к оператору;
- необходимость уведомления РКН;
- проверка договоров поручения и мер защиты.
Как снизить ответственность
- Ограничить доступ сотрудников к базам данных
- Использовать двухфакторную авторизацию
- Проводить аудит подрядчиков
- Настроить резервное копирование и журналирование
- Регулярно обучать сотрудников
Что делать после утечки
- Ограничить дальнейший доступ к данным
- Зафиксировать инцидент внутренним актом
- Провести расследование
- Уведомить РКН в срок
- Подготовить уведомления субъектам ПД
- Исправить причину инцидента
- Сохранить все доказательства действий компании
Попытка скрыть утечку, уничтожение логов или отказ взаимодействовать с РКН обычно приводит к более жёстким санкциям и внеплановой проверке.