Примите как данность: ужесточение защиты личной информации осложнит жизнь бизнесу

Автор фото: ТАСС

08:0528 мая 202508:05

2236просмотров

08:0528 мая 2025

Дарья Дмитриева

С 30 мая ужесточается ответственность за нарушения при обработке персональных данных. Огромные штрафы, грозящие не только за утечки, но и за ошибки учёта, могут сильно осложнить жизнь бизнесу.

Раньше подать заявление о работе с персональными данными (ПДн) в Роскомнадзор (РКН) можно было уже после сбора информации. Теперь же уведомлять ведомство нужно заранее. Нарушивших это правило граждан могут оштрафовать на 5–10 тыс. рублей, должностных лиц — на 30–50 тыс., компании — на 100–300 тыс.

Ещё более суровое наказание грозит за утечки собранных персональных данных. В случае такого инцидента компания или предприниматель должны в течение 24 часов уведомить РКН, сообщив о причинах, масштабах и принятых мерах. Затем, в течение 72 часов, передаются итоги внутренней проверки, включая информацию о возможных виновных лицах (при их наличии). Несоблюдение этих норм может грозить штрафом до 3 млн рублей.

Ну а самые большие санкции предусмотрены за саму утечку (точнее за действия или бездействие, её повлёкшие). Гражданам грозит штраф до 400 тыс. рублей, организациям — до 15 млн, а в случае рецидива — 1–3% от выручки.

Реестр пополнится

Оператором персональных данных считается любой государственный или муниципальный орган, физическое или юридическое лицо (в том числе ИП или самозанятый), которые занимаются обработкой личной информации о человеке (к ней относится практически что угодно — номер телефона, псевдоним в соцсетях, электронная почта, фотография, сведения об образовании и т. д.). Но речь идёт об обработке "с использованием средств автоматизации", проще говоря, компьютера или других гаджетов. Каждый такой оператор должен быть внесён в соответствующий реестр.

"Если специалист разместил объявление об услугах в газете, но не оставил там свой телефон, а дал адрес офиса или кабинета, куда приходят люди записаться на услугу, при этом их имена фиксируют только в бумажный блокнот, в этом случае необязательно состоять в реестре в качестве оператора персональных данных. Но в реальности так не происходит и как минимум используется сотовая связь. Даже если клиент пишет специалисту личное сообщение с просьбой о записи, то мы уже имеем факт обработки персональных данных", — поясняет собственник фирмы Teiwaz legal юрист Мария Стрельчик.

Самозанятые не считаются операторами ПДн, если работают в одиночку и не собирают базы. Но если происходит утечка или данные клиентов попадают в третьи руки, они всё равно могут нести ответственность как физические лица, указывает главный юрист направления информационной безопасности "Контур. Эгида", эксперт по ИБ Ольга Попова.

"А вот ИП полностью подпадают под нормы закона 152–ФЗ. Даже если у них нет сайта, но есть клиентская база, список заказов, переписка с данными — это уже повод соблюдать правила. Угрозы, к сожалению, есть всегда, идеальной защиты не существует. Но как минимум можно минимизировать риски: чётко понимать, как и где хранятся данные, иметь документы и использовать средства защиты", — подчёркивает она.

В тексте закона указано, что его действие не распространяется на отношения, возникающие при "обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных". Так что считать каждого человека оператором ПДн из–за списка контактов в смартфоне, видимо, всё–таки не будут. По крайней мере хочется в это верить.

Зато предпринимателям, которые раньше могли себе позволить игнорировать правила, так как штрафы были не слишком высоки и взыскивали их не так уж рьяно, стоит срочно подавать уведомление в Роскомнадзор. И далее при взаимодействии с клиентом обязательно брать письменное согласие на обработку данных, в котором указано, какие данные он будет обрабатывать, для каких целей, как их защищать.

“

"Изменение правил обработки персональных данных может оказаться критичным, поскольку возникает необходимость приводить в соответствие новым требованиям IT–системы и бизнес–процессы. Для крупного бизнеса это может быть особенно долго и дорого. Если лицо оказывает услуги только юридическим лицам, оно всё равно не может обойтись без обработки персональных данных, например представителей юридического лица или контактных лиц", — добавляет юрист практики по интеллектуальной собственности и информационным технологиям АБ "Качкин и партнёры" Ольга Новинская.

Технические тонкости

Операторы данных теперь обязаны собирать, хранить и обрабатывать информацию исключительно на территории России. Правила по локализации распространяются на компании, которые используют иностранные сервисы для сбора и обработки пользовательской информации. Например, облачные хранилища, Google Forms, Google Analytics. Под правила попадают и те, кто применяет иностранные IT–решения, — если их серверы находятся за пределами РФ.

Трансграничная передача данных возможна, но только при наличии официального разрешения от Роскомнадзора. Например, туристические компании могут передавать информацию о клиентах принимающей стороне за границей. Но для этого организация должна заранее уведомить регулятора и внести информацию в Реестр трансграничных передач. Впрочем, участники рынка напоминают, что турагенты и туроператоры уже больше 2 лет считаются операторами ПДн.

Лента новостей

Только бизнес новости

14:07

В России может появится единый реестр водителей такси

14:04

Восточную Финляндию предложили спасти от запустения, но не всю

13:58

Главгосэкспертиза одобрила подготовку следующих участков для строительства ШМСД

12:59

Рост петербургской промышленности ускорился до 7,5% относительно прошлого года

12:54

Продажу алкоголя в магазинах НАО ограничили несколькими часами в день

Информационные технологии (IT)

Пробивают защиту: хакеры добрались до персональных данных IT–компаний

Всё как на ладони

Большинство компаний собирают ПДн в электронном виде — через формы на сайте, в мобильных приложениях, онлайн–заказах, программах лояльности. Типовой набор — ФИО, телефон, email. Если речь про финансы, аренду, выдачу сим–карт —добавляются паспортные данные, в ретейле — адрес доставки. В итоге у бизнеса часто формируется довольно полный цифровой портрет человека.

По мере того как увеличивается объём персональных данных, хранящихся у организаций, учащаются и случаи их утечек. ПДн даже стали называть "новой нефтью". За них готовы платить легальные структуры, но главную опасность представляет спрос на эти сведения в киберпреступном мире.

Руководитель отдела исследования и мониторинга андеграунда департамента киберразведки (Threat Intelligence) компании F6 Лада Крюкова обращает внимание, что риск утечки конфиденциальных данных в любой компании есть всегда. Организации, которые собирают персональные данные, нередко воспринимают их как товар, но не как информацию, которая может нанести серьёзный вред человеку. В результате бизнес не принимает необходимых мер для защиты. Чем и пользуются злоумышленники.

"Многие пользователи редко меняют пароли, а контактные данные, такие как электронная почта и телефонные номера, и вовсе могут оставаться актуальными долгое время. Публикуя такую информацию, злоумышленники привлекают к своим профилям и каналам дополнительный интерес со стороны других киберпреступников, которые в свою очередь могут продолжать распространять опубликованные данные по цепочке в других ресурсах. Чем больший охват получает та или иная утечка — тем больше злоумышленников потенциально смогут использовать представленную в ней информацию", — объясняет Лада Крюкова.

Беспечные сотрудники

Впрочем, пострадать от утечек может и сам бизнес, а не только его клиенты. Эксперты называют особенно важными данные, предоставляющие доступ к внутренним корпоративным системам. Часто причиной их компрометации становится простая небрежность: сотрудники, используя публичные VPN–сервисы, забывают отключить их при работе с корпоративными ресурсами, в результате чего возникает риск перехвата.

"Технические меры защиты — важная часть, но недостаточная. Комплексный подход включает также регулярное обучение — компаниям важно не забывать инструктировать и обучать сотрудников основам ИБ и правилам поведения в сети интернет, как распознать фишинг и какие могут быть последствия", — подчёркивает директор управления сопровождения информационных систем IT–экосистемы "Лукоморье" Андрей Пахомов.

“

Формально инициатива правильная. На деле же индустрия красоты к этим изменениям в основном не готова. Большинство салонов — это микробизнес, у которого нет штатных юристов и IT–отделов. При этом им нужно срочно зарегистрироваться, подготовить документы, назначить ответственных, уведомлять об утечках. Сам процесс регистрации сейчас вызывает проблемы: сайт Роскомнадзора перегружен, многие предприниматели сталкиваются с техническими ошибками. Государство требует скорости, но не предоставляет инструментов. Все мы, кто работает в b2c, давно обрабатываем персональные данные. При этом предпринимателям никто не объясняет, что теперь это зона повышенного риска. Государству необходимо не только требовать, но и обучать предпринимателей, давать шаблоны, инструкции, чек–листы. А бизнесу нужно срочно озаботиться приведением процессов в порядок. Потому что незнание не может считаться оправданием. Когда человек регистрирует ИП или ООО, то только он успевает покинуть здание налоговой — уже начинает получать звонки от банков, CRM–сервисов, маркетинговых платформ с предложениями купить их услуги для успешного ведения деятельности. То есть его номер появляется у десятков коммерческих организаций уже через несколько часов. Владелец малого бизнеса сегодня — чуть ли не самый незащищённый носитель персональных данных в стране.

Лялья Садыкова

руководитель Ассоциации предприятий индустрии красоты (АПИК)

“

Мы разработали telegram–бот, подключённый к ИИ. Он обучен на всех релевантных материалах Роскомнадзора и способен после последовательного диалога с пользователем подготовить полный комплект юридически корректных документов для размещения на сайте. Кроме того, центр "Мой бизнес" проводит обучающие мероприятия, направленные на повышение юридической грамотности предпринимателей, в том числе в сфере безопасности.

Алексей Таций

промпт–инженер, партнёр ЦРПП и продюсер сцены "Нейросети для бизнеса" на "Мой бизнес Forum — 2025"

“

Не все самозанятые имеют доступ к персональным данным клиентов. Например, таксисты, осуществляющие перевозку, как правило, не имеют доступа к ПДн пассажиров, поэтому подавать уведомление не должны. Также оно не требуется, когда персональные данные обрабатываются без использования средств автоматизации. То, что деятельность самозанятых будет приводиться в некие рамки, мы прогнозировали ещё в начале года. В такой ситуации будет формироваться и укрепляться роль общественных объединений, которые будут помогать самозанятым гражданам вести диалог и договариваться с государством.