Один из главных рисков для российских компаний в 2025 году — неправильная работа с персональными данными (ПДн) — может повлечь большие штрафы. О ключевых изменениях в законе, которые важно учитывать, чтобы подготовиться к потенциальным рискам, порталу «Риск-менеджмент. Практика» рассказала управляющий партнер 1ОПД Марина Александровская.
Законодательные новации
Ключевое изменение — появление оборотных штрафов. Это означает, что сумма взыскания может составлять процент от годового дохода компании. Речь идет не только о гигантах — требования коснутся малого и среднего бизнеса.
Кроме того, с 1 июля 2025 года вступает в силу Федеральный закон от 28 февраля 2025 года № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации», ужесточающий требования к локализации персональных данных граждан Российской Федерации.
Сейчас операторы при их сборе обязаны использовать базы, находящиеся на территории РФ. Ранее закон возлагал обязанность по локализации только на операторов, однако операторы должны были включать в поручение на обработку положения, обязывающие обработчиков выполнять требования по локализации. С июля данное требование будет распространяться и на третьих лиц, обрабатывающих персональные данные по поручению оператора, — обработчиков. Поправка также устанавливает более жесткие требования и запрещает любое использование зарубежных баз данных.
Компании должны внимательно изучить текущие процессы и внести необходимые корректировки, чтобы избежать рисков. Например, одна из маркетинговых платформ, работающая с зарубежными подрядчиками, была вынуждена пересмотреть 60% договоров, чтобы соответствовать новым требованиям трансграничной передачи.
Отдельно стоит отметить и поправки в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), которые в несколько раз увеличивают размеры административных штрафов за нарушение порядка обработки ПДн (вступают в силу с 30 мая 2025 года). Изменения касаются как увеличения размеров штрафов, так и введения новых составов правонарушений.
Вот лишь некоторые примеры штрафов для юридических лиц, которые накладываются за каждое из допущенных нарушений:
- Неуведомление Роскомнадзора (РКН) о начале обработки — штраф от 100 000 до 300 000 рублей;
- Обработка ПДн без согласия — штраф от 300 000 до 700 000 рублей
- Неуведомление РКН о факте утечки — штраф от 1 000 000 до 3 000 000 рублей
- Утечка данных более 100 000 субъектов — штраф от 10 000 000 до 15 000 000 рублей
Если организация, ранее привлекавшаяся к ответственности за утечку персональных данных, повторно допустит неправомерную передачу информации, ей грозит штраф в размере от 1% до 3% совокупного размера выручки, но не менее 20 млн рублей и не более 500 млн рублей.
Рост киберугроз и утечек
По данным Роскомнадзора, в 2024 году зафиксировано более 1500 обращений о нарушениях в области ПДн только от потребителей. Утечки чаще всего происходят из-за следующих факторов:
— отсутствия внутреннего реестра согласий;
— слабой защиты API и внутренних систем;
— передачи данных подрядчикам без должного договора поручения или по слабо защищенным каналам.
Топ-5 ошибок при работе с персональными данными
Первая и главная ошибка — установка «пока штрафы не пришли, можно не беспокоиться». И это самое большое заблуждение. Внимание к вопросам персональных данных постоянно растет, размеры штрафов повышаются. Кроме потенциальных репутационных потерь, компании рискуют в какой-то момент получить очень существенные штрафы и последствия для бизнеса.
Вторая ошибка — формальное согласие на обработку персональных данных или отсутствие ссылки на сам текст согласия в форме сбора. Отсутствие согласия — прямое нарушение №152-ФЗ. Сюда же можно отнести неопубликование политики обработки данных и неподачу уведомления в РКН о начале обработки персональных данных.
Третья ошибка — хранение персональных данных за пределами РФ (нарушение локализации). Иногда бизнес использует ранее настроенные CRM-системы, почтовый сервис или систему аналитики, которые, в свою очередь, используют серверы за границей без подтвержденного хранения на территории РФ. Теперь это может очень дорого обойтись. Необходимо проверить все системы и сервисы компании и использовать только отечественные облачные платформы или зарубежные, но официально имеющие дата-центры в РФ, для выполнения всех требований по первичной локализации.
Четвертая ошибка — запуск сайтов или рекламных кампаний без заблаговременного решения вопроса по сбору и обработке персональных данных. Довольно часто наблюдается ситуация: маркетологи решили запустить новый лендинг или промо-акцию, в течение двух месяцев работали над идеей и визуалами, все подготовили к запуску, но абсолютно забыли про настройку работы с персональными данными потенциальных участников акции. В результате — юристы или специалисты по кибербезопасности блокируют запуск рекламной кампании на долгое время. И маркетологи начинают экстренно решать вопрос: куда бежать, чтобы как можно скорее решить вопрос с корректным сбором данных.
Наконец, пятая ошибка — передача данных подрядчикам без договора или с нарушением. Например, сбор производится в полном соответствии с законом, но далее информация о клиентах передается службе доставки, маркетинговому агентству или разработчику без договоров поручения на обработку ПДн. Крайне важно провести аудит договоров с подрядчиками, с которыми вы обмениваетесь данными ваших клиентов.
