Защита персональных данных: кто отвечает за утечку

По новым нормам ст. 13.11 КоАП РФ оператора за утечку идентификаторов физических лиц могут оштрафовать на сумму до 500 млн рублей или 3% от годовой выручки. Знание требований к защите персональных данных и понимание, что именно считается инцидентом, — первый шаг к предотвращению катастрофических убытков. Мы расскажем, какие штрафы предусмотрены для операторов, какие меры защиты он должен предпринять и что делать, если инцидент уже произошел.

Что считается утечкой ПДн

Утечка персональных данных клиентов и других физических лиц — это инцидент, в результате которого произошли несанкционированные или случайные действия, следствием которых стали:

1. Уничтожение, изменение, блокирование ПДн.
2. Копирование, предоставление, распространение ПДн.
3. Иной неправомерный доступ к ПДн.

Проще говоря, утечкой ПДн считается незаконная передача таких данных третьим лицам или неограниченному числу лиц, не имеющих на это законного основания. Права субъекта ПДн при этом нарушаются.

Недостаточный уровень защищенности информационных систем и процессов обработки — главная причина утечки персональных данных. Но есть и другие причины:

1. Человеческий фактор: ошибка сотрудника — отправка базы данных по электронной почте не тому адресату, потеря флешки с данными без шифра, публикация конфиденциальной информации на сайте по невнимательности.
2. Технические уязвимости: взлом сайта, заражение вирусом-шифровальщиком, проблемы в программном обеспечении, позволяющие злоумышленникам получить доступ к серверам с ПДн.
3. Некорректная настройка доступа: когда к конфиденциальным данным имеют доступ сотрудники, которым это не требуется для выполнения прямых обязанностей, или когда бывший сотрудник сохраняет доступ к системам.
4. Потеря физических носителей: кража ноутбука, жесткого диска или даже бумажного документа, содержащего ПДн, без должной защиты (шифрования, сейфа).

Важно! Утечка персональных данных — это не всегда про злонамеренные хакерские атаки. Небрежное обращение с информацией, отсутствие регламентов, необученный персонал — все это создает риски, ведущие к инцидентам.

Ответственность оператора за утечку

Оператор обязан обеспечить безопасность и защиту персональных данных, систематически проводить внутренний контроль и сделать все для того, чтобы ПДн не стали известны посторонним.

Ответственность за утечку персональных данных возлагается именно на оператора, а с 30 мая 2025 года штрафы стали выше (ч. 12-18 КоАП РФ):

1. За утечку «обычных» ПДн (зависит от масштаба):
   • 1 000-10 000 человек (или 10 000-100 000 идентификаторов): для юрлиц — 3-5 млн рублей;
   • 10 000-100 000 человек (или 100 000-1 млн идентификаторов): для юрлиц штраф составит до 10 млн рублей;
   • более 100 000 ПДн субъектов (или более 1 млн идентификаторов): штраф для юрлиц — от 10 до 15 млн рублей.
2. За утечку особо защищаемых категорий ПДн (вне зависимости от количества):
   • Специальные категории (здоровье, раса, политические/религиозные взгляды, интимная жизнь): штраф для юрлиц — 10-15 млн рублей.
   • Биометрические данные (отпечатки, сетчатка, фото для идентификации и т.д.): для юрлиц — 15-20 млн рублей.

Не стоит забывать и про новые оборотные штрафы за утечку персональных данных. Они применяются при повторной утечке, если компания уже привлекалась к ответственности. В таком случае юрлицо могут оштрафовать на сумму до 3% годовой выручки, но не менее 25 млн и не более 500 млн рублей. Кроме того, за правонарушения, предусмотренные ч.8-18 ст. 13.11 КоАП РФ, индивидуальные предприниматели несут ответственность как юридические лица.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Что делать оператору в случае утечки

Как только вы обнаружили утечку, обязательно уведомите орган по защите прав субъектов персональных данных — Роскомнадзор. На это у вас есть 24 часа с момента выявления инцидента. Уведомление об утечке персональных данных можно подать онлайн на сайте ведомства. В ответ РКН отправит вам ключ уведомления и номер.

Что еще нужно сделать:

1. Провести расследование. Для этого создается комиссия, в состав которой должны быть специалисты по безопасности, сотрудник отдела кадров, IT-специалист. При необходимости можно привлекать других работников, имеющих доступ к ПДн. На расследование у вас есть 72 часа. По результатам составьте акт и укажите, по каким причинам ПДн стали доступны третьим лицам, какие меры приняты для ликвидации последствий инцидента: например, проверка защиты ПО, устранение ошибок.
2. Подать в РКН уведомление о результатам расследования. Это нужно сделать не позднее 72 часов с момента выявления инцидента. Укажите в документе номер и ключ уведомления.

Какие меры защиты персональных данных обязательны

Защита персональных данных (ПДн) — не абстрактная концепция, а строгий набор обязательных мер по ФЗ-152. Если будете их игнорировать, это прямая дорога к утечкам и гигантским штрафам, о которых мы говорили ранее.

Вот что обязан сделать каждый оператор:

1. Разработайте и внедрите ключевые документы — Политику и Положение об обработке и защите персональных данных. Это ваша внутренняя «конституция» по работе с ПДн, без них вы уже нарушаете закон (ч. 1 ст. 18.1 ФЗ-152, ч. 3 ст. 13.11 КоАП РФ). Обязательно пропишите:
   • какие ПДн вы обрабатываете и в каких целях;
   • как получаете согласие субъектов;
   • кто имеет доступ к данным внутри компании;
   • как обеспечиваете безопасность (конкретные меры);
   • порядок реагирования на утечки.
2. Реализуйте комплексную техническую защиту персональных данных. Требования жестко регламентированы Приказом ФСТЭК России от 18.02.2013 № 21 и Приказом ФСБ России от 10.07.2014 № 378. Необходимый минимум:
   • установить межсетевые экраны (firewall) для контроля входящего/исходящего трафика;
   • внедрить средства обнаружения вторжений (IDS) для выявления атак, для выявления и предотвращения — система предотвращения вторжений (IPS);
   • обеспечить антивирусную защиту на всех устройствах, где хранятся/обрабатываются ПДн;
   • регулярно обновлять ПО и операционные системы, закрывая уязвимости;
   • разграничить права доступа (принцип минимальных привилегий: сотрудник видит только то, что нужно для работы);
   • защитить каналы передачи данных;
   • организовать резервное копирование и восстановление данных.
3. Сформируйте актуальный перечень мер по защите персональных данных. Это основа вашей системы безопасности. Он должен соответствовать требованиям Постановления Правительства РФ от 01.11.2012 №1119 (вместе с упомянутыми приказами ФСТЭК и ФСБ). В нем конкретно укажите:
   • какие организационные меры приняты (назначение ответственных, инструктажи сотрудников, регламенты работы с ПДн);
   • какие технические меры внедрены (конкретные системы и технологии из пункта 2);
   • как обеспечивается физическая защита серверов, рабочих мест, архивов (сигнализация, сейфы, пропускной режим).
4. Не пренебрегайте внутренними проверками защиты персональных данных: закон требует регулярного контроля эффективности принятых мер (п. 5 ч. 1 ст. 18.1 ФЗ-152). Это значит:
   • тестирование на проникновение (пентест): проверка, смогут ли специалисты «взломать» вашу систему;
   • аудит настроек безопасности: постоянная проверка корректности работы средств защиты, прав доступа сотрудников;
   • анализ журналов событий: выявление подозрительной активности;
   • моделирование инцидентов: проверка готовности к реальной утечке.

Самостоятельно справиться со всем очень тяжело. Требования ФЗ-152, ФСТЭК, ФСБ и Роскомнадзора объемны, взаимосвязаны и постоянно усложняются. Ошибка в Положении, неверный выбор средств технической защиты, неполный перечень мер или формальные проверки — это риски штрафов в миллионы рублей и потери доверия клиентов. Только профессиональные юристы знают все подводные камни и помогут вам выстроить полноценную, проверяемую и, главное, эффективную систему защиты ПДн, снизив риск претензий со стороны Роскомнадзора.

Заключение

Новые штрафы за утечку персональных данных (до 500 млн рублей 3% выручки) делают риски бизнеса критическими. Самостоятельно обеспечить полное соответствие ФЗ-152, Постановлению Правительства РФ №1119 и Приказам ФСТЭК/ФСБ почти невозможно. Профессиональная помощь юристов — хорошая инвестиция в защиту от разорительных санкций и краха всей репутации компании.