все продуктысделанные в России

Услуги

Устранить нельзя взыскать! Как снизить риски штрафов в 2025м году: пошаговая инструкция

Любой обыватель знает о том, что «кто владеет информацией, тот владеет миром», а потому ее бережно оберегают от посторонних посягательств. Однако принимаемые меры не всегда бывают эффективными, поэтому с каждым годом количество законопроектов РФ по регулированию ПДн постоянно растет. Как, кстати, и количество организаций, которые безответственно относятся к своим персданным. 

Под конец года были введены еще два, которые внесли изменения в регулирование ПДн и ужесточающие ответственность — как уголовную, так и в части оборотных штрафов. Давайте разбираться, что изменится для нас в этом году. 

Оборотные штрафы за утечку персональных данных 2025

Оборотные штрафы за утечку персональных данных (ПДн) увеличены согласно ФЗ № 420 от 30.11.2024. Таким образом, они составят для компаний до полумиллиарда рублей. Согласно новому законодательству, до 30 мая 2025 года организациям необходимо провести комплексную проверку документов, устанавливающих порядок взаимодействия с ПДн внутри компании, направить уведомления о намерении осуществлять обработку персональных данных организацией, а также провести аудит средств защиты информации в компании. Рассмотрим эти шаги детальнее.

Что конкретно делать бизнесу пошагово

Штрафы за утечку ПДн могут достигать в новом году до 3% от доходов организации. Помимо ужесточения штрафов за утечку ПДн, подход законодателя к нарушениям в сфере ПДн в принципе меняется, а также КоАП РФ предусматривает иные штрафы и формы ответственности за нарушения в сфере обработки персональных данных (ПДн).

Например, нововведение в соответствии с ч.10 и 11 КоАП РФ — штрафы за несвоевременное уведомление Роскомнадзора (РКН) как о намерении начать обрабатывать персональные данные (ПДн), так и об утечке ПДн.

С учетом всех нововведений в КоАП, организациям до 30 мая 2025 года необходимо:

  1. Разработать и утвердить необходимые документы, устанавливающие порядок работы бизнеса с ПДн.

  2. Убедиться в том, что все персональные данные собираются и обрабатываются на законных основаниях.

  3. Подать уведомление о намерении компании начать обрабатывать персональные данные в Роскомнадзор (РКН).

  4. Разработать четкий алгоритм действий при утечке персональных данных (ПДн) и закрепить его локальным нормативным актом.

  5. Распределить обязанности сотрудников при утечке ПДн и определить порядок проведения внутреннего расследования.

  6. Составить список всех средств защиты информации, проверить наличие у них сертификации и лицензий.

  7. Собрать пакет документов, которые докажут, что компания принимает все разумные меры для обеспечения информационной безопасности в части защиты ПДн.

Возможный штраф даже в случае утечки ПДн может быть снижен, если компания предпринимала необходимые действия для защиты ПДн. Например, закупала в определенном законодательством объеме продукты и услуги для защиты данных, в частности для защиты ПДн, соблюдала требования по обработке ПДн и не использовала несертифицированные средства.

Итак, какие же суммы штрафов и за что? Читаем дальше

Вот что грозит организациям и должностным лицам за неисполнение законодательства по защите ПДн:

  • за несвоевременное уведомление РКН о намерении начать обработку ПДн — штраф до 300 000 рублей;
  • за просрочку уведомления об утечке ПДн и за промедление с уведомлением о результатах внутреннего расследования по утечке ПДн — до 3 миллионов рублей (за каждое уведомление);
  • за утечку персональных данных — до 500 миллионов рублей (в зависимости от объема утечки);
  • уголовная ответственность за незаконное использование ПДн в том числе в виде лишения свободы до 10 лет. 

Полмиллиарда рублей — это максимальный оборотный штраф КоАП РФ. То есть, при взимании штрафа в размере 3% от доходов организации, в итоге оборотный штраф КоАП РФ не может быть более этой суммы. Другие штрафы за невыполнение законодательства по защите ПДн согласно КоАП варьируются от трехсот тысяч рублей и далее. А согласно УК РФ, с учетом изменений, внесенных ФЗ № 421 от 30.11.2024 — ответственность может быть в виде лишения свободы.
 

При этом штраф может быть снижен, если:

  • компания на протяжении трех лет до момента утечки ПДн ежегодно направляла не менее одной десятой процента совокупного дохода на услуги и решения организаций, имеющих лицензию на разработку средств шифрования и на разработку СЗКИ;
  • компания может представить доказательства, что она в течение года до утечки ПДн соблюдала требования по обработке персданных в информационных системах. Это могут быть результаты аудита ИБ, сертификаты СЗИ, регламенты проведения мероприятий по повышению защищенности информации, а также сведения из системы, например, InfoWatch Traffic Monitor;
  • компания не использовала несертифицированные решения и не нарушает требования к защите информации и защите ПДн.

Самое важное: что делать? Наш совет

Не нужно ничего приделывать коню или изобретать новую азбуку. Группа компаний InfoWatch уже все придумала для вашей безопасности!

Решения группы InfoWatch отвечают новым вызовам законодательства и позволяют обеспечить должный уровень защиты информации и ПДн.

InfoWatch Traffic Monitor и InfoWatch Центр расследований — позволят оперативно выявить угрозы утечек информации и ПДн, в краткие сроки провести внутреннее расследование инцидента ИБ и тем самым избежать штрафа.

InfoWatch обладают обеими требуемыми для снижения штрафа за ПДн лицензиями:

  • лицензией ФСБ РФ на разработку средств защиты информации
  • лицензией ФСБ РФ на разработку шифровальных (криптографических) средств

Все решения InfoWatch сертифицированы и соответствуют требованиям обеспечения безопасности персональных данных при обработке в информационных системах. Следовательно, согласно новому закону, использование систем InfoWatch позволяет снизить размер штрафа даже в случае, если организация будет привлечена к ответственности. 

Группа InfoWatch разработала ряд уникальных методик, позволяющих провести аудит документов и технических средств на предмет соответствия требованиям законодательства:

  • с помощью Методики аудита ПДн создается объективная картина использования ПДн в компании, выявляются точки риска и разрабатывается документация, отвечающая реальным потребностям бизнеса;
  • методика сбора, обработки и анализа сведений об утечке решает задачу проведения расследования утечки ПДн в сжатые сроки;
  • методика сбора и обработки информации об ущербе позволяет определить реальный объем утечки информации и ПДн, а также выявить дополнительные критические факторы информационной безопасности.

*Информация предоставлена сайтом InfoWatch и является полностью проверенной.