Екатеринбург
Ваш город Екатеринбург?

От выбранного города зависят предложения банка.

Офисы и банкоматы
Интернет-банк
Ваш город Екатеринбург?

От выбранного города зависят предложения банка.

  1. Бизнесу
  2. Сервисы
  3. Справочник предпринимателя
  4. Помощь
  5. Штрафы за утечку данных клиентов

Оборотные штрафы за утечку персональных данных

Оборотные штрафы за утечку персональных данных

Количество личных данных, которые попадают в Сеть, постоянно растёт. По информации Роскомнадзора, с начала 2024 года произошла утечка более 600 млн записей о россиянах. Мошенники получили доступ к номерам банковских карт, паспортов и других документов. В связи с этим государство приняло решение ужесточить ответственность за утечку персональных данных. В статье рассказали, что изменится, и какие новые штрафы должны будут платить компании в 2025 году.

Содержание:

Что такое утечка персональных данных и чем она опасна для бизнеса

Что нового в законодательстве о персональных данных

Основные риски утечки персональных данных

Как бизнесу защитить персональные данные

Как УБРиР защищает персональные данные клиентов

Что такое утечка персональных данных и чем она опасна для бизнеса

Утечка данных — это получение доступа к конфиденциальной, личной или защищаемой информации лицами, которые не имеют соответствующего разрешения.

Защита персональных данных и ответственность за нарушение законодательства в этой области регулируется:

  • ст. 13.11 КоАП;
  • №152-ФЗ от 27.07.2006 ;
  • ст. 151 ГК РФ — о компенсации морального вреда;
  • ст. 15 ГК РФ — о возмещении убытков;
  • ст. 90 Трудового кодекса — об ответственности за нарушения норм обработки и защиты персональных данных сотрудника.

Многие компании хранят у себя персональные данные пользователей: Ф. И. О., номера банковских карт, данные паспорта и СНИЛС, адрес регистрации и проживания и другие. Полный перечень информации, которая относится к персональным данным, можно найти в законе №152-ФЗ.

Все данные, которые относятся к персональным, перечислены в законе №152-ФЗ

Утечка персональных данных может привести к негативным последствиям для бизнеса:

  • Репутационные риски. Если информация об утечке станет известна пользователям, они перестанут доверять компании и будут меньше обращаться к её услугам. Кроме того, информация об утечке может серьёзно снизить приток новых клиентов.
  • Финансовые потери. Падение спроса на продукцию или услуги и уход новых клиентов приведут к сокращению прибыли. Кроме того, бизнесу придётся тратить больше средств на продвижение и рекламу, чтобы снизить недоверие пользователей. Также компания должна будет заплатить штрафы и компенсации пострадавшим от утечки данных.
  • Уголовная ответственность. Ст. 137 УК РФ предусматривает уголовную ответственность за незаконный сбор и распространение сведений, которые составляют личную или семейную тайну.

Максимальное наказание за утечку персональных данных клиентов — лишение свободы:

  • на срок до двух лет за незаконный сбор или распространение сведений, которые составляют личную или семейную тайну;
  • на срок до четырёх лет, если нарушение было совершено с использованием служебного положения;
  • на срок до пяти лет за публичное распространение сведений о личности несовершеннолетнего потерпевшего по уголовному делу или описание его физических и нравственных страданий.

Что нового в законодательстве о персональных данных

В сложившейся ситуации, когда мошенники получают доступ к личным данным граждан, было решено ужесточить меры по их защите.

Изменения в КоАП. 30 ноября 2024 года президент РФ подписал указ, а в декабре был опубликован закон №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Он вступит в силу через 180 дней после дня его официального опубликования, то есть введённые законом изменения начнут действовать с 30 мая 2025 года.

Закон предусматривает:

  • ответственность за неуведомление Роскомнадзора о намерениях обработки персональных данных и об утечках такой информации;
  • ужесточение штрафов за утечку персональных данных, обработку излишних данных и за обработку без необходимых разрешений.

Штраф за обработку персональных данных без согласия пользователя также увеличится.

Первичное нарушение:

  • от 50 до 100 тыс. рублей — для должностных лиц;
  • от 150 до 300 тыс. рублей — для юридических лиц.

Повторное нарушение:

  • от 100 до 200 тыс. рублей — для должностных лиц;
  • от 300 до 500 тыс. рублей — для юридических лиц.

Оборотные штрафы. Изменения предусматривают введение оборотных штрафов за утечку персональных данных для компании — оператора персональных данных, которая допустила утечку личной информации.

Штраф за утечку персональных данных составит от 0,1 до 3% от выручки за календарный год или за часть текущего года, но не менее 25 млн рублей и не более 500 млн рублей.

Размеры штрафов будут зависеть от объёма утечек и от того, первое это правонарушение или повторное:

  • от 3 млн до 5 млн рублей — при первых утечках данных от 1000 до 10 000 человек;
  • от 5 млн до 10 млн рублей — при утечках баз данных 10 000–100 000 граждан;
  • до 15 млн рублей — для баз более 100 000 человек.

Штраф за утечку биометрических персональных данных:

  • от 1,3 до 1,5 млн рублей — для должностных лиц;
  • от 15 до 20 млн рублей — для юридических лиц.

Появилась ответственность за неуведомление Роскомнадзора об утечке персональных данных. В этом случае юридическое лицо или ИП получат штраф от 1 до 3 млн рублей.

Новый закон уже опубликован и вступит в силу 30 мая 2025 года

Изменения в уголовном законодательстве. На данный момент в УК РФ нет прямой уголовной ответственности за незаконные действия с персональными данными. Ст. 137 УК РФ защищает частную жизнь гражданина в целом и его право на личную и семейную тайну.

30 ноября 2024 года президент РФ подписал Федеральный закон от 30.11.2024 №421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации». Закон вступит в силу с 11 декабря 2024 года.

В УК РФ появится новая статьяя 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения и (или) распространения».

За эти нарушения могут назначить штраф до 300 тыс. рублей, либо принудительные работы на срок до четырёх лет, либо лишение свободы на тот же срок. Повышенная ответственность предусматривается, если нарушения совершены в отношении персональных данных несовершеннолетних лиц, специальных категорий персональных данных или биометрических персональных данных. Максимальное наказание — лишение свободы на срок до пяти лет. А если утечка повлекла вред жизни или здоровью граждан, общественной безопасности или преступление совершено организованной группой — до 10 лет.

Согласие на обработку персональных данных. В июле 2024 года в Госдуму был внесён законопроект №679980-8 о внесении изменений в статью 9 Федерального закона «О персональных данных» и статью 10 ФЗ «О защите прав потребителей».

Законопроект предлагает добавить правило, которое запрещает продавцам ограничивать доступ потребителя к информации о товаре из-за его отказа предоставить свои персональные данные. Исключение будут составлять случаи, когда обязанность предоставления персональных данных закреплена в законодательстве РФ. Тот же запрет планируется распространить на исполнителей и владельцев агрегатора.

Также может появиться уточнение, которое предписывает компаниям оформлять согласие на обработку персональных данных отдельно от других документов. Например, его будет нельзя включать в пользовательские соглашения. Это должно предотвратить случаи, когда согласие теряется среди большого объёма других сведений и пользователь подписывает его автоматически.

Кроме того, законопроект внесёт изменения в статью 9 №152-ФЗ и упростит процедуру отзыва согласия на обработку персональных данных. Сейчас для этого нужно написать официальное письмо в адрес организации, для которой оно было предоставлено. Когда законопроект будет принят, отозвать согласие можно будет в той же форме, в которой оно было получено. Например, непосредственно на сайте компании.

Основные риски утечки персональных данных

Риски утечки персональных данных можно разделить на две категории: внутренние и внешние.

Внутренние — угрозы утечки данных, которые исходят из самой компании:

  • Работа оборудования. Неправильно настроенный сервер, который случайно индексируется поисковыми системами и даёт доступ к базам данных, которые на нём хранятся.
  • Случайные действия сотрудника. Например, если человек скинул рабочий документ на флешку или переслал на личный электронный почтовый ящик — это уже утечка информации, даже если она не повлекла за собой никаких негативных последствий.
    • Ещё один пример неосторожности: сотрудник с рабочего компьютера открывает письмо или переходит по сторонней ссылке. В них может содержаться вирус, который скачивает информацию с компьютера адресата.
  • Злонамеренные действия сотрудника. У работника может быть конфликт с руководством компании, и при увольнении он может скопировать персональные данные клиентов, чтобы отомстить. Либо продать информацию конкурентам или мошенникам, чтобы заработать.

Внешние — причины утечки, которые не относятся к системам компании и её персоналу. Это могут быть фишинговые атаки, попытки подбора учётных данных для входа в систему, использование уязвимостей программ, которыми пользуется компания.

Как бизнесу защитить персональные данные

Чтобы предотвратить утечку персональных данных в компании, нужно соблюдать несколько правил:

  1. Обновляйте антивирус и всё программное обеспечение до последней версии. Хакеры регулярно модифицируют вирусы, поэтому старые версии антивирусных программ могут их не распознавать.
  2. Шифруйте данные. Даже если злоумышленники получат сведения, то использовать их будет гораздо сложнее.
  3. Регулярно проверяйте безопасность систем. Можно проводить аудит безопасности или заказать пентест — проверку защищённости компьютерной системы, при которой моделируется реальная атака.
  4. Используйте сложные пароли и многофакторную аутентификацию. Заводите сотрудникам такие пароли, которые будет сложно подобрать, и регулярно их меняйте. Это можно делать, например, каждые две недели или раз в месяц.
  5. Закрывайте внутренний доступ для аккаунтов бывших сотрудников. Иногда при увольнении сотрудника его рабочий аккаунт остаётся доступен. Человек может зайти в него с домашнего компьютера и скачать данные клиентов.
  6. Открывайте сотрудникам доступ только к той информации, которая действительно нужна для работы. Не стоит предоставлять доступ к данным клиентов широкому кругу работников. Ограничьте его — пусть эти сведения могут видеть только те, кому они действительно необходимы.

Как УБРиР защищает персональные данные клиентов

Система удалённого доступа банка соответствует современным требованиям хранения данных. Надёжные серверы, система шифрования и антивирусная защита обеспечивают клиентам УБРиР безопасность финансовой информации.

Кроме того, у банка есть сервис «Бизнес-щит» , который страхует риски владельцев счетов, если утечка данных произошла на стороне клиента по разным причинам. Например, в случае кражи ЭЦП, телефона или ноутбука, содержащих доступы к интернет-банку.

Полис действует 24 часа в сутки по всей территории РФ, а вместе с ним вы получите поддержку профессиональных юристов.


Автор: редакция «УБРиР для бизнеса»

Подпишитесь на социальные сети «УБРиР для бизнеса»: ВКонтакте и Telegram

Снижайте риски для бизнеса
Оформите подписку на сервис «Бизнес-щит»
Перейти
Читайте по теме:
Офисы
и банкоматы
Связаться
с банком
Меню
Чат
Интернет-
банк
Назад
No Handler :(