Мы столько об этом говорили, и вот свершилось: 26 ноября Госдума приняла, а 27 ноября Совет Федерации утвердил пакет законопроектов, ужесточающих ответственность за утечки персональных данных. Закон вступит в силу через 180 дней. И если еще год или два назад вопрос выстраивания внутри компании процессов обработки персональных данных являлся второстепенным и часто откладывался на дальнюю полку под предлогом «будут лишние деньги и время – займемся»,  то в наступающем году данный вопрос скорее всего придется переместить в папку «СРОЧНОЕ».

Основные нововведения:

1.    Штрафы за утечки выросли в разы.

Обычные персональные данные:

При первичном нарушении — от 150 до 300 тыс. рублей.

За утечку от 1 тыс. до 10 тыс. субъектов — от 3 до 5 млн рублей.

Более 100 тыс. субъектов — до 10–15 млн рублей.

Специальные и биометрические данные:

При первичном нарушении — от 10 до 15 млн рублей.

За повторную утечку — штрафы от 25 млн рублей до 500 млн рублей или до 3% годовой выручки компании.

2. Введено понятие утечки.

Утечкой считается неправомерная или случайная передача, предоставление, распространение или доступ к данным, если это привело к нарушению прав субъектов персональных данных. Это значит, что ответственность могут нести не только злоумышленники, взломавшие системы, но и сотрудники, неправомерно использующие данные.

3. Обязанность уведомления Роскомнадзора об утечке.

Если компания не уведомила Роскомнадзор в случае утечки, ей грозит штраф:

Ø от 100 до 300 тыс. рублей при первичном нарушении;

Ø от 1 до 3 млн рублей за повторное нарушение.

Особая ответственность за биометрические данные.
Биометрия и специальные категории данных под особым контролем. Повторные утечки грозят штрафами от 25 до 500 млн рублей или до 3% годовой выручки.

Как снизить риски штрафов?

Закон предусматривает возможность уменьшения штрафов если выполнены следующие условия:

1. Ежегодные расходы на информационную безопасность составляют не менее 0,1% от годовой выручки за последние три года.

2. Проведен аудит соответствия требованиям защиты данных в течение 12 месяцев до выявления утечки.

3. Отсутствуют отягчающие обстоятельства (например, игнорирование предписаний Роскомнадзора или предыдущие нарушения).

Каждое нарушение, связанное с утечкой данных, может привести к катастрофическим последствиям для бизнеса. Особенно это касается обработки биометрических и специальных категорий данных, которые находятся под пристальным контролем.

Чем мы можем помочь?

Наша команда экспертов предлагает:

• Аудит процессов и документации. Мы проверим ваши документы и процессы обработки данных на соответствие новым требованиям.

• Разработку необходимых документов. Подготовим внутренние политики, инструкции, соглашения, которые минимизируют риски.

• Обучение сотрудников. Обучим персонал правильно работать с данными, чтобы избежать ошибок и человеческого фактора.