Утечка данных: предотвратить нельзя штрафовать

Утечки персональных данных — один из главных рисков для бизнеса в 2025 году. Компании, допустившие утечку, могут столкнуться с крупными штрафами, падением доверия клиентов и репутационными потерями. В 2024 году Госдума приняла закон №420-ФЗ, усиливающий ответственность бизнеса: штрафы могут достигать 500 млн рублей или 3% от годового оборота.

Новый уровень ответственности, или почему государство ужесточает правила защиты

За последние два года в России зафиксирован резкий рост утечек данных. Только за январь — февраль 2025 года Роскомнадзор обнаружил в открытом доступе 24 млн записей. Компании все чаще становятся жертвами утечек из-за хакерских атак и внутренних ошибок сотрудников.

За первые месяцы 2025 года было зафиксировано 19 фактов распространения в интернете баз данных, по данным фактам составлено 5 протоколов об административном правонарушении, которые приводят к финансовым и репутационным потерям операторов персональных данных.

На фоне этих событий Федеральный закон от 30.11.2024 г. № 420-ФЗ вводит новые меры ответственности для операторов персональных данных.

Подробнее об ответственности и оборотных штрафах за утечку данных

Цель законопроекта — ввести реальную ответственность за инциденты, чтобы побудить компании инвестировать в информационную безопасность и защищать данные своих клиентов. Рассмотрим его ключевые пункты.

1. Штрафы для бизнеса:

• до 500 млн рублей — за утечку персональных данных;
• до 3% от оборота компании (не менее 20 млн рублей) — за повторные нарушения;
• до 700 тыс. рублей — если компания скрывает утечку от клиентов.

2. Штрафы для руководителей:

• до 300 тыс. рублей — для должностных лиц, допустивших утечку.

При этом статья 4.1 «Общие правила назначения административного наказания» дополнена частью 34-2, которая смягчает санкции при утечке специальных или биометрических персональных данных.

Размер штрафа снижается до 0,1 от его минимального размера за соответствующее нарушение, но может составлять не менее 15 миллионов рублей и не более 50 млн рублей, если выполнены одновременно следующие условия:

1. Ежегодные расходы оператора в течение 3 предыдущих лет на обеспечение информационной безопасности с помощью лицензированных организаций составляли не менее 0,1% от годовой выручки.
2. Документально подтверждено, что за предшествующий год оператор соблюдал законодательные требования к защите персональных данных при их обработке в информационных системах персональных данных.
3. Ранее у организации не было нарушений в части сбора и обработки персональных данных, своевременных оповещений Роскомнадзора. А также были соблюдены правила информирования граждан о политике оператора в отношении работы с ПДн и уничтожения/блокирования ПДн в информационных системах по требованию.

Рекомендации для компаний: как минимизировать размер сливаемых персональных данных и штрафа

Для предотвращения утечки ПДн и минимизации связанных с этим финансовых и репутационных потерь рекомендуется выполнять следующие меры.

1. Усиление внутренней безопасности: 

• разработайте и утвердите политику обработки ПДн;
• назначьте ответственного за информационную безопасность (DPO);
• проводите ежегодные аудиты безопасности;
• ограничьте доступ к персональным данным только тем сотрудникам, которым это необходимо для выполнения их обязанностей.

2. Современная техническая защита данных:

• внедрите системы предотвращения утечек (DLP, NGFW, XDR);
• настройте шифрование данных (при передаче и хранении);
• регулярно обновляйте программное обеспечение;
• применяйте VPN для безопасного удаленного доступа.

3. Регулярное обучение персонала:

• проводите тренинги по защите персональных данных;
• обучайте сотрудников распознавать фишинговые атаки и другие методы социальной инженерии.

4. Реакция на инциденты:

• разработайте и протестируйте план реагирования на утечки;
• уведомляйте клиентов и регуляторов о фактах утечки в срок.

5. Контроль подрядчиков:

• проверяйте безопасность партнеров, работающих с ПДн;
• заключайте соглашения о конфиденциальности (NDA).

Эти меры важно внедрять в компанию уже сейчас: помните, информационная безопасность — это эшелонированный набор действий. 

Подводим итоги. Будущее российского законодательства в ИБ

Ожидается, что дальнейшее развитие законодательства о защите персональных данных в России произойдет в течение 3–5 лет и резких изменений не предвидится.

На мой взгляд, одним из ключевых факторов станет развитие искусственного интеллекта, который может оказать значительное влияние на законодательные инициативы. Это связано с тем, что уже сейчас наблюдается рост использования дипфейков и других технологий, которые могут создавать ложные данные, что в свою очередь может привести к подставам для бизнеса и наложению штрафов.

Сейчас оборотные штрафы должны побудить компании задуматься, что выгоднее: инвестировать в кибербезопасность или платить огромные деньги за ИТ-инциденты.

Кроме того, считается, что такие меры административного наказания окажут превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных. В итоге должно значительно снизиться количество утечек личной информации граждан.