Оборотные штрафы за персональные данные: как бизнесу не оказаться в числе пострадавших

Почему появились оборотные штрафы

По данным Роскомнадзора, в 2023 году было зафиксировано более 1400 инцидентов с утечками персональных данных, что почти в два раза больше по сравнению с 2022 годом. Утекали базы с паспортными данными, телефонами, медицинскими картами, данными банковских карт. В резонансных случаях — таких как инциденты с «Гемотестом»,— в публичный доступ попадали сотни тысяч и даже миллионы записей.

В 2023 году также была зафиксирована тревожная динамика: по исследованию компании Surfshark, Россия вошла в пятерку стран с наибольшим числом утечек персональных данных за последние два года. Количество пострадавших аккаунтов превысило 100 млн, при этом во многих случаях данные были доступны в даркнете менее чем через сутки после инцидента.

Оборотные штрафы стали частью новой стратегии регулирования в области ПДн, целью которой является создание стимулов для бизнеса повышать уровень информационной безопасности. До этого максимальные штрафы за нарушения составляли всего до 75 тыс. рублей — очевидно, такая мера не работала с крупными игроками.

Международный опыт: не первый прецедент

В Европе с момента вступления в силу общего регламента по защите данных (GDPR) в 2018 году сумма штрафов за нарушение правил обработки ПД превысила 4 миллиарда евро. Крупнейшие кейсы — Amazon (€746 млн), WhatsApp (€225 млн), Meta (признана в России экстремистской и запрещена) (€1,2 млрд в 2023 году). Европейская модель также предусматривает штрафы до 4% от годового оборота компании — и этот механизм показал свою эффективность.

В США, несмотря на отсутствие единого федерального закона, ответственность за утечки регулируется отраслевыми и региональными актами. К примеру, в Калифорнии действуют штрафы по закону CCPA, а Федеральная торговая комиссия (FTC) регулярно накладывает многомиллионные санкции за утечки данных и ввод клиентов в заблуждение. Это формирует практику, при которой соблюдение стандартов кибербезопасности становится обязательным элементом бизнес-модели.

Кому стоит волноваться в первую очередь

Российская модель оборотных штрафов пока применяется точечно, однако правоприменение обещает быть активным. Под особым риском оказываются компании:

• обрабатывающие большой массив ПД — банки, клиники, ритейл, маркетплейсы, EdTech и онлайн-сервисы,
• передающие обработку ПД подрядчикам без должного контроля,
• не реализовавшие технические и организационные меры защиты,
• использующие формы и сервисы сбора данных, не отвечающие требованиям закона,
• не уведомляющие регулятора и пострадавших пользователей об инцидентах.

Именно такие компании первыми рискуют попасть под оборотные санкции. Судебная практика и первые проверки покажут примеры, но готовиться к ним стоит уже сейчас.
как минимизировать риски и избежать штрафов:

1. Провести аудит обработки персональных данных. Нужно зафиксировать, какие данные собираются, на каком основании, где и как хранятся, кому передаются. Это основа для соблюдения принципа минимизации данных и информационной безопасности.
   
2. Назначить ответственного за защиту ПД. Это не только юридическое требование, но и элемент управления рисками. Во многих случаях отсутствие ответственного и формализованных процедур становится главным фактором, ведущим к инциденту.
   
3. Заключить договоры с подрядчиками и встроить контроль. Если обработка передаётся IT-компании, колл-центру или подрядчику по маркетингу — с ними должны быть заключены соглашения об условиях обработки данных. Это ключевой аспект, особенно при облачных решениях.
   
4. Обновить внутренние политики и регламенты. Политика конфиденциальности, пользовательские соглашения, журнал доступа к базам, процедуры реагирования на инциденты — все это должно быть не «для галочки», а реально работающим инструментом.
   
5. Обучать сотрудников и тестировать системы. По данным Positive Technologies, в 82% случаев причиной утечек становится человеческий фактор. Регулярное обучение и моделирование инцидентов — это дешевый способ предотвратить дорогие последствия.
   
6. Подготовить план реагирования на инциденты. В случае утечки важно не паниковать, а чётко следовать сценарию: уведомить регулятора, локализовать ущерб, проинформировать пользователей. Такие действия часто смягчают последствия и позволяют избежать максимальных санкций.

Оборотные штрафы — это не просто ужесточение законодательства. Это сигнал бизнесу: защита персональных данных становится обязательным стандартом, таким же, как бухгалтерский учет или налоговая отчетность. В условиях цифровой экономики, где данные — это актив, игнорирование требований может обернуться миллионными убытками и потерей доверия клиентов. Компании, которые первыми осознают это, и начнут действовать на опережение, окажутся в выигрыше — как с точки зрения регулирования, так и в глазах рынка.

Автор — советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян.

Автор выражает личное мнение, которое может не совпадать с позицией редакции.