С 30 мая 2025 года в России вступают в силу изменения законодательства, вводящие новый механизм ответственности за утечки персональных данных — оборотные штрафы. Соответствующие поправки внесены Федеральным законом от 30 ноября 2024 года № 420-ФЗ, которым дополнена статья 13.11 Кодекса Российской Федерации об административных правонарушениях.
Впервые предусмотрены санкции, соразмерные масштабу бизнеса: штрафы за повторные инциденты могут достигать до 3% от годовой выручки компании, но не менее 20 млн рублей. Советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян рассказала о том, как как бизнесу не попасть под штрафы.Почему появились оборотные штрафы
По данным Роскомнадзора, в 2023 году было зафиксировано более 1400 инцидентов с утечками персональных данных, что почти в два раза больше по сравнению с 2022 годом. Утекали базы с паспортными данными, телефонами, медицинскими картами, данными банковских карт. В резонансных случаях — таких как инциденты с "Гемотестом",— в публичный доступ попадали сотни тысяч и даже миллионы записей.
В 2023 году также была зафиксирована тревожная динамика: по исследованию компании Surfshark, Россия вошла в пятерку стран с наибольшим числом утечек персональных данных за последние два года. Количество пострадавших аккаунтов превысило 100 млн, при этом во многих случаях данные были доступны в даркнете менее чем через сутки после инцидента.
Оборотные штрафы стали частью новой стратегии регулирования в области ПДн, целью которой является создание стимулов для бизнеса повышать уровень информационной безопасности. До этого максимальные штрафы за нарушения составляли всего до 75 тыс. рублей — очевидно, такая мера не работала с крупными игроками.
Международный опыт: не первый прецедент
В Европе с момента вступления в силу общего регламента по защите данных (GDPR) в 2018 году сумма штрафов за нарушение правил обработки ПД превысила 4 миллиарда евро. Крупнейшие кейсы — Amazon (€746 млн), WhatsApp (€225 млн), Meta (€1,2 млрд в 2023 году). Европейская модель также предусматривает штрафы до 4% от годового оборота компании — и этот механизм показал свою эффективность.
В США, несмотря на отсутствие единого федерального закона, ответственность за утечки регулируется отраслевыми и региональными актами. К примеру, в Калифорнии действуют штрафы по закону CCPA, а Федеральная торговая комиссия (FTC) регулярно накладывает многомиллионные санкции за утечки данных и ввод клиентов в заблуждение. Это формирует практику, при которой соблюдение стандартов кибербезопасности становится обязательным элементом бизнес-модели.
Кому стоит волноваться в первую очередь
Российская модель оборотных штрафов пока применяется точечно, однако правоприменение обещает быть активным. Под особым риском оказываются компании:
• обрабатывающие большой массив ПД — банки, клиники, ритейл, маркетплейсы, EdTech и онлайн-сервисы, • передающие обработку ПД подрядчикам без должного контроля, • не реализовавшие технические и организационные меры защиты, • использующие формы и сервисы сбора данных, не отвечающие требованиям закона, • не уведомляющие регулятора и пострадавших пользователей об инцидентах.
Именно такие компании первыми рискуют попасть под оборотные санкции. Судебная практика и первые проверки покажут примеры, но готовиться к ним стоит уже сейчас. как минимизировать риски и избежать штрафов:
1. Провести аудит обработки персональных данных. Нужно зафиксировать, какие данные собираются, на каком основании, где и как хранятся, кому передаются. Это основа для соблюдения принципа минимизации данных и информационной безопасности. 2. Назначить ответственного за защиту ПД. Это не только юридическое требование, но и элемент управления рисками. Во многих случаях отсутствие ответственного и формализованных процедур становится главным фактором, ведущим к инциденту. 3. Заключить договоры с подрядчиками и встроить контроль. Если обработка передаётся IT-компании, колл-центру или подрядчику по маркетингу — с ними должны быть заключены соглашения об условиях обработки данных. Это ключевой аспект, особенно при облачных решениях. 4. Обновить внутренние политики и регламенты. Политика конфиденциальности, пользовательские соглашения, журнал доступа к базам, процедуры реагирования на инциденты — все это должно быть не "для галочки", а реально работающим инструментом. 5. Обучать сотрудников и тестировать системы. По данным Positive Technologies, в 82% случаев причиной утечек становится человеческий фактор. Регулярное обучение и моделирование инцидентов — это дешевый способ предотвратить дорогие последствия. 6. Подготовить план реагирования на инциденты. В случае утечки важно не паниковать, а чётко следовать сценарию: уведомить регулятора, локализовать ущерб, проинформировать пользователей. Такие действия часто смягчают последствия и позволяют избежать максимальных санкций.
Оборотные штрафы — это не просто ужесточение законодательства. Это сигнал бизнесу: защита персональных данных становится обязательным стандартом, таким же, как бухгалтерский учет или налоговая отчетность. В условиях цифровой экономики, где данные — это актив, игнорирование требований может обернуться миллионными убытками и потерей доверия клиентов. Компании, которые первыми осознают это, и начнут действовать на опережение, окажутся в выигрыше — как с точки зрения регулирования, так и в глазах рынка. Автор - советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян.
Автор выражает личное мнение, которое может не совпадать с позицией редакции.
Свежие комментарии