Защита персональных данных: законодательство и штрафы

14.06.2024
Защита персональных данных: законодательство и штрафы

Автор: Филиппов Олег

Исходя из статистики, около 80% случаев утечки персональных данных связаны с действиями сотрудников. В случае утраты данных, какие штрафы ожидают компании в 2024 году?

Исходя из статистики, около 80% случаев утечки персональных данных связаны с действиями сотрудников. В случае утраты данных, какие штрафы ожидают компании в 2024 году?

Факты утечки персональных данных могут быть связаны с непреднамеренными действиями сотрудников, например, случайным открытием фишинговых ссылок, что может привести к доступу злоумышленников к конфиденциальным данным компании. Как следствие, злоумышленники могут зашифровать или стереть данные, требуя выкуп за их восстановление.

Утечки данных несут негативные последствия для юридических лиц: повреждение репутации, значительные штрафы и даже уголовную ответственность. Для предотвращения штрафов и утечек данных необходимо тщательно относиться к хранению и обработке личных данных сотрудников.

В настоящее время вопросы защиты персональных данных в Российской Федерации регулируются Федеральным законом № 152-ФЗ "О персональных данных", который определяет условия и принципы хранения и обработки персональной информации, конфиденциальность персональных данных, биометрические данные и ответственность за нарушение требований.

В результате судебной практики по уголовным и административным делам, связанным с утечками информации, постепенно вносились изменения в законодательство. Ключевые изменения в 2023 году включают:

  • Подтверждение уничтожения персональных данных должно быть оформлено документально актом в соответствии с требованиями Роскомнадзора.
  • Трансграничная передача персональных данных теперь требует подачи заявки в Роскомнадзор на разрешение передачи данных за рубеж, вместо простого уведомления.
  • Изменение сведений об операторе. Компании обязаны сообщать новую информацию в Роскомнадзор не позднее 15-го числа следующего месяца. Если оператор прекращает обработку персональных данных, он должен проинформировать об этом в течение 10 рабочих дней.
  • Оценка возможного вреда субъекту персональных данных должна проводиться на основании требований Роскомнадзора.
  • Роскомнадзор будет вести реестр учета инцидентов утечки персональных данных.

С 2024 года ввели новые поправки, ужесточающие ответственность за утечку данных. При нарушении законодательства в сфере конфиденциальных данных сотрудников предусмотрены финансовые санкции:

  • Если персданные обрабатываются без явного письменного согласия субъекта, организации могут быть оштрафованы на сумму от 300 000 до 700 000 рублей.
  • При повторном нарушении размер штрафа увеличивается до 1,5 миллиона рублей.
  • За ненадлежащее уничтожение личных данных компании могут быть оштрафованы на сумму до 90 000 рублей.

Помимо финансовых штрафов, за утечку персональных данных предусмотрена уголовная ответственность. Под угрозой наказания находятся физические лица, распространяющие персональные данные других граждан с умыслом.

Чтобы избежать штрафов, компания должна организовать сбор, хранение, передачу и уничтожение персональных данных в соответствии с законодательством, а также актуализировать свои локальные нормативные акты и "Соглашение об обработке персональных данных".

Например, если компания начала использовать фотографии сотрудников на сайте после 2019 года, необходимо обновить информацию об использовании фотографий в публичной области и обновить подписи в "Соглашении".

После внесения изменений в законодательство государственные компании обязаны осуществлять закупки отечественного программного обеспечения, соответствующего установленным требованиям. Это необходимо для предотвращения утечек данных и обеспечения бесперебойной работы. Особую важность это приобретает для предприятий, имеющих статус КИИ (критическая информационная инфраструктура) в таких отраслях, как наука, связь, энергетика, банковская деятельность и другие сегменты финансового рынка, здравоохранение, транспорт, топливно-энергетический комплекс, химическая и горнодобывающая промышленность, металлургия, ракетно-космическая отрасль, оборонное производство и сфера атомной энергии.

Из рисков, которые могут возникнуть для компании, выделяются несколько проблем, связанных с использованием небезопасного сервиса:

  1. Утечка конфиденциальных данных, включая персональные сведения сотрудников, коммерческие тайны и другую критически важную информацию, содержащуюся в трудовых договорах и других кадровых документах.
  2. Возможность шантажа, когда хакеры, используя персональные данные сотрудников, получают доступ к базам данных, шифруют или блокируют корпоративную информацию и требуют выкупа за ее разблокировку.
  3. Потеря данных кадрового учета и простои в работе бухгалтерии, что может замедлить ведение бухгалтерского учета, выплату заработной платы и организацию внутреннего документооборота.
  4. Юридическая ответственность, вызванная нарушениями правил обработки и хранения информации, которые могут повлечь за собой административные последствия в связи с несоблюдением законов о защите персональных данных.
  5. Потеря доверия со стороны клиентов и партнеров, поскольку инциденты утечки данных сотрудников могут подорвать репутацию компании на рынке и негативно сказаться на HR-бренде работодателя.

Похожие статьи