Оборотные штрафы и реальные угрозы. Что ждет операторов персональных данных в 2025 году

Круглый стол на конференции «Киберконтур-2025», посвященный персональным данным, собрал экспертов, для которых эта тема — не только юридическая, но и очень практическая. Модератором сессии выступил Алексей Лукацкий — один из главных публичных голосов в области ИБ в стране.

Начали с простого вопроса в зал: кто зарегистрирован как оператор персональных данных? Поднялась только треть рук. Остальные — формально нарушают закон, потому что за отсутствие регистрации теперь положены оборотные штрафы до 300 тысяч рублей. «Две трети из вас ходят под статьей», — лаконично заметил Алексей.

Но и те, кто зарегистрировался, делали это не без внутренних споров. Как признался Павел Коростелев из «Кода Безопасности», у компании просто нет морального права игнорировать требования: «Мы создаем средства защиты. Приватность данных наших сотрудников и пользователей — это не опция, а обязательство».

А вот у сервисов с массовым пользовательским трафиком, таких как Whoosh, мотивация была более прагматичной. «Когда в базе пять миллионов пользователей, ты не можешь делать вид, что ты не обработчик», — отметила Анастасия Гайнетдинова, Security Leader компании.

Разговор быстро вышел за рамки формального соблюдения закона: участники обсуждали, почему многие компании до сих пор не осознают, что попадают под требования закона о персональных данных — и что с этим делать в условиях ужесточения ответственности.

Закон размытый. Что считать персональными данными — до сих пор предмет споров. «Многие даже не задумываются, что становятся операторами, просто передавая данные сотрудников в банк для оформления карт», — считает ИТ-директор группы компаний «Латео» Иван Козлов. Формально — это уже обработка данных третьих лиц, значит, регистрация обязательна. Но на практике многие даже не подозревают, что нарушают закон.

Свою точку зрения озвучил и Руслан Ложкин, директор департамента кибербезопасности «Абсолют банка». По его словам, в крупных организациях с этим давно все ясно: «Если бы мы не подались, к нам бы РКН сам пришел. У нас десятки тысяч записей, выбора нет». Но он отметил проблему небольших компаний: интеграторов, аудиторов, пентестеров. Те формально обрабатывают персональные данные, но не считают нужным регистрироваться просто потому, что не видят прямого риска или не осознают масштаба своей ответственности.

За что на самом деле будут штрафовать?

Алексей Лукацкий напомнил: новые штрафы — это не только про громкие утечки, а про любую передачу персональных данных, даже случайную. Например, когда бухгалтер по ошибке отправил ведомость не туда. Или HR переслал файлик «не тем адресатам». Это тоже «неправомерное распространение» — и формально уже нарушение.

Именно поэтому статья 13.11 КоАП, о которой многие говорят вскользь, заслуживает внимания — не пересказа, а вдумчивого прочтения. По словам Алексея, в зале нашлось меньше людей, читавших ее полностью, чем подавших уведомление в Роскомнадзор. А ведь именно эта статья становится в 2025 году тем самым «рычагом», с помощью которого государство будет наказывать — не за факт компрометации, а за сам факт выхода данных за пределы организации, даже по доброй воле или из-за невнимательности.

Но главное — новая статья о штрафе за отсутствие регистрации в реестре операторов. По оценке Алексея, это самая простая в реализации мера для самого Роскомнадзора. В реестре сегодня около 900 тысяч операторов. По данным ФНС, юридических лиц и ИП в стране более 8 миллионов. Разница — это не просто статистика, а целевое поле для пополнения бюджета через «письма счастья».

«Суд всегда встанет на сторону регулятора. Потому что персональные данные вы обрабатываете всегда. Достаточно завести «журнал посетителей» — и вы уже оператор», — подчеркнул модератор. А штрафы — от 100 до 300 тысяч рублей, с последующим удвоением за неуплату. Отдельно он напомнил: оборотные штрафы — не за первый инцидент, а за повторный. Но даже с первого раза суммы могут быть чувствительными: до 15 миллионов рублей. Поэтому вопрос не в том, пришел ли Роскомнадзор уже к вам, а в том, когда он придет.

Суд скажет, кто хомяк. Почему все говорят про Таганский район?

Вопрос, что именно считается «первой утечкой», быстро уперся в правовую неопределенность.

Почти все данные уже есть в Интернете. Как понять, что именно ваша утечка — первая? И как доказать, что это не вы? По мнению Руслана Ложкина, в условиях, когда Роскомнадзор может просто найти любую слитую базу и связать ее с компанией, бремя доказательства де-факто перекладывается на бизнес. А судебная практика пока отсутствует — и именно она должна расставить акценты.

Эти ожидания разделяет и Анастасия Гайнетдинова. Юристы, особенно из сообщества специалистов по privacy (Regional Privacy Professionals Association), ждут первых решений именно Таганского суда. Практика этого суда уже формировала ключевые кейсы: от штрафов Google и Facebook до постановлений по локализации данных. И, как она метко заметила, «в других судах не всегда понимают, что им приносят. Иногда приходится буквально объяснять, что ты не хомяк».

Антон Кузнецов, эксперт по цифровизации, подтвердил: для госкомпаний вопрос персональных данных — один из высших приоритетов, особенно если речь идет о миллионах записей. В отличие от бизнеса, где могут колебаться, в госсекторе риски воспринимаются всерьез. Причем дело не только в деньгах, но и в потенциальной уголовной ответственности, которая, по новым нормам, может наступать при повторных нарушениях.

Пока же действует стратегия: выжидать, не торопиться, но держать в поле зрения — и Роскомнадзор, и Таганский суд, и соседние компании, на которых вот-вот упадет первый штраф. Только тогда, по мнению участников, можно будет всерьез говорить о мотивации для системных изменений.

Но если раньше проверки Роскомнадзора были чем-то маловероятным и терпимым — теперь они становятся инструментом с ощутимыми последствиями. Участники круглого стола сходятся в одном: регулятору дали удобный рычаг — и он обязательно им воспользуется.

«Проверки и раньше проходили, но теперь все упирается в то, как будет трактоваться даже малейшее нарушение, — отметил Иван Козлов. — Это уже не формальность, а реальный источник пополнения бюджета». Компании понимают, что необязательность исполнения больше не работает и что даже мелкая организация, где не ведется «журнал удаления», рискует попасть под раздачу. Не говоря уже о крупных игроках.

Можно назвать это палочной системой. План по проверкам, план по штрафам, план по результатам. И даже если формально ничего не случилось, вполне возможно, что повод будет найден — и предъявлен. Поэтому все ждут громких кейсов, которые «разлетятся по Интернету», и тихих — в региональных компаниях, о которых никто не напишет, но которые тоже станут частью новой реальности.

Кто крайний? Когда сесть может не тот, кто виноват

Следующий вопрос, заданный Алексеем Лукацким, был, пожалуй, самым неудобным и одновременно самым актуальным: кто будет нести ответственность, если произойдет неправомерное распространение персональных данных? ИТ-директор? CISO? Генеральный? Или тот самый «ответственный за обработку», которого, по закону, необходимо назначить?

Антон Кузнецов считает, что ключевым фактором станет история действий — или их отсутствия. Если сотрудник по информационной безопасности добивался защиты, запрашивал бюджеты, предлагал решения, но был проигнорирован — то обвинить его формально можно, но справедливо ли это? А вот если не предпринимал шагов вовсе, не поднимал вопросы на нужный уровень, не настаивал — тогда да, можно сказать, что он не минимизировал риски в пределах своих полномочий. А значит, и ответственность может лечь на него.

Но в юридической плоскости логика может быть другой. Иван Козлов напомнил, как еще в нулевых в суды массово попадали системные администраторы за установку пиратского софта. Тогда, как и сейчас, формальный подход был безжалостен: «Никто не спрашивал, почему ты нарушил — дали тебе бюджет или нет. Нарушил — отвечай». Именно так, по его словам, может сработать и новый режим в сфере ПДн: наличие обязанностей важнее возможностей их исполнения.

Если в компании есть назначенный ответственный за обработку персональных данных — скорее всего, стрелки будут переведены на него. Если нет — ответственность, как это часто бывает, распределится между теми, кто ближе всех стоял к процессу: CISO, ИТ-директор, юридический отдел.

Вообще утечка может начаться с любого уровня — от случайного действия рядового сотрудника до просчета в настройке системы. Но в поле зрения регулятора попадет не тот, кто отправил файл не туда, а тот, кто по должностным обязанностям должен был это предотвратить.

Особенность нового регулирования в том, что под «утечкой» теперь может пониматься что угодно: от публикации в СМИ до мнимой атаки, смоделированной конкурентами. А значит, поле для манипуляций — огромное.

Большинство участников дискуссии сошлись в одном: формально назначенным может быть кто угодно, но именно ИБ-служба чаще всего оказывается под ударом. Как сказала Анастасия Гайнетдинова, «ответственность в любом случае несет оператор — компания. А дальше уже вопрос, как она распределяет ее внутри себя». Это может быть директор по безопасности, ИТ-директор или даже руководитель HR — все зависит от того, как выстроены процессы и как оформлены документы.

Иногда, как у Павла Коростелева, за обработку персональных данных отвечает замгендиректора по всей безопасности. Иногда — руководитель цифровой трансформации. А иногда — вообще не понятно кто. Потому что, как подчеркнул Алексей Лукацкий, по закону должен быть один ответственный, подчиняющийся напрямую исполнительному органу. И если что-то случится, именно он — «первый на линии».

При этом роль ИТ-специалистов никто не отменяет. «Утечки происходят не в HR-папке, а на серверах, в базах, в облаках — там, где работают айтишники», — заметил один из участников. Но формально они часто остаются «техподдержкой» процесса, на которых юридическая ответственность напрямую не ложится. До тех пор пока не начнется следствие.

Интересно, что внутри компаний возникают конфликты даже между отделами. Кадровики подают данные, айтишники их хранят, подрядчики обеспечивают доступ — а отвечает один. Если не прописана субсидиарная ответственность в договоре, с подрядчика спроса не будет. Вся тяжесть — на операторе.

Вывод такой: если в компании не определены роли, границы ответственности и сценарии реакции — значит, риски уже внутри. И неважно, в каком именно отделе они лежат.

Мешок без дна, и почему одному не справиться

В российских реалиях должность ответственного за обработку персональных данных нередко превращается в мешок без дна. В итоге ожидания от одного человека — знать и право, и технологии, и регуляторику, и управление рисками — становятся просто нереалистичными.

На этом фоне опыт соседей выглядит куда более структурированным. В Беларуси, например, с самого начала закреплено: есть два ответственных — за контроль обработки и за информационную безопасность. Первый отвечает за то, какие процессы должны быть выстроены, чтобы персональные данные были в безопасности; второй — за то, как эти процессы технически реализованы. И, что важно, именно контроль обработки стоит в иерархии выше, потому что он задает правила игры.

Такой подход, по мнению участников, куда ближе к реальности. Потому что только в тесной связке правового и технического блоков можно выстроить рабочую модель. «Управленец по ПД может знать, как должно быть, но не обязан знать, как настроить файрвол. А ИБ-специалист знает как, но не всегда — зачем», — прозвучало на круглом столе. Синергия между этими ролями, пожалуй, единственный способ превратить комплаенс из формальности в работающую защиту.

При этом ответственность все же распределяется. Если компания задокументировала: «все доступы только по авторизации», а через два года в базу внезапно заходит уволенный админ — технический специалист, не отключивший учетку, понесет персональную ответственность. Потому что правила были заданы, подписаны и согласованы. Нарушение конфигурации — уже его зона риска.

Именно в таких деталях и скрыты будущие кейсы по 13.11 КоАП. И скорее всего, именно они станут предметом первых прецедентных решений.

Утечка или фейк? У вас есть 24 часа

С 1 сентября 2022 года у операторов персональных данных появилась новая обязанность — сообщать Роскомнадзору о фактах неправомерного распространения данных в течение 24 часов. Это не 24 рабочих часа. Это 24 астрономических. Без выходных и отпусков.

Но что делать, если информация появилась в Сети не потому, что «утекло», а потому, что кто-то скомпилировал старые данные или просто придумал утечку?

«Есть вполне понятный алгоритм», — комментирует Руслан Ложкин. Первым делом — технический анализ. Где могла храниться эта информация, кто имел к ней доступ, были ли попытки выгрузки или взлома? Все это надо оперативно собрать, сверить с логами и приложить в ответном уведомлении в Роскомнадзор. «Нужно заранее прописывать действия на такой случай в план реагирования на инциденты, — подчеркивает он, — без автоматических систем мониторинга здесь не обойтись».

Иными словами, нужно быть готовыми защищать свою правоту еще до того, как она вам понадобится. Потому что в 24 часа редко помещается внутренняя проверка, юридическое заключение и два раунда согласования.

К тому же, как напомнил Алексей Лукацкий, в административном производстве нет полноценного следствия. Если вы не уведомили — вы нарушили. Суды, как правило, встают на сторону регулятора.

Если формально оператор обязан уведомить Роскомнадзор о любой утечке персональных данных в течение 24 часов, то в реальности первый вопрос, который задают себе ИБ-специалисты: а откуда нам вообще стало известно? Из канала в Telegram, от журналиста, из письма регулятора, от клиента?

«Информация может появиться где угодно — в канальчике с 10 подписчиками или на РБК. Но Роскомнадзор начнет считать 24 часа с того момента, как вы узнали — или, хуже, как он сам узнал», — поясняет Алексей Лукацкий. И если вы мониторите не те источники, а Роскомнадзор следит за другими — «вы не знали» не будет оправданием. Наоборот, это может стать доказательством вашей халатности.

В условиях информационного шума и огромного количества каналов, «выявить первую публикацию практически невозможно». Сначала «база» появляется в неизвестном Telegram-чате, через неделю она всплывает на новостном сайте, а еще через месяц ее обсуждают СМИ. В какой момент это стало «утечкой»?

Но, как напомнил модератор, ваша обязанность — реагировать с момента появления факта, а не его проверки. Даже если это фейк, формально вы обязаны уведомить. С последующим разбором, уточнением и опровержением.

Как правильно реагировать на такую публикацию, если данные могли утечь не у вас, а у подрядчика или вообще оказаться фейком?

Что касается подрядчика, совет такой: если отдаете данные на сторону — оформите это как положено. Не просто SLA, а полноценное «Поручение на обработку ПДн». И включите туда пункт об обязательном уведомлении об инцидентах, даже если подрядчик не уверен, что это была утечка. Уточнение: как он будет уведомлять — его проблема. Как вы докажете, что требовали это от него — ваша.

Поэтому, как отметил Алексей Лукацкий, реакция на публикацию зависит от «религии» оператора. Кто-то считает достоверным только уведомление от Роскомнадзора или ГосСОПКИ, кто-то пост в узкопрофильном канале с 200 подписчиками. Стандарта пока нет. А значит, у каждого — свой рубеж тревоги.

Если же говорить о возможной ответственности производителя средств защиты, то переложить на него ответственность не получится. Даже если уязвимость была в самом продукте, за последствия — в том числе штрафы и репутационные потери — отвечает тот, кто систему внедрил и эксплуатирует.

Не важно, где увидели — важно, что сделали

С какого момента считать, что утечка все-таки произошла и надо бежать с уведомлением в Роскомнадзор? Здесь все, конечно, зависит от того, как толковать «момент выявления». В законе, как напомнила Анастасия Гайнетдинова, прямо сказано: считать нужно с того момента, как оператор сам установил факт нарушения. Неважно, из письма ли шантажистов или из публикации в Telegram-канале, как только организация поняла, что возникла проблема — у нее есть 24 часа, чтобы уведомить регулятора. А на расследование еще 48. Источник значения не имеет.

Но, как справедливо заметил Алексей Лукацкий, на практике все устроено иначе. В большинстве компаний решения такого рода принимает не один человек, а внутренняя комиссия, формально или неформально, и зависит все не только от масштаба инцидента, но и от того, кто оказался в списке пострадавших, сколько о нем знают и как сильно пострадает репутация. А в какой-то момент обсуждение и вовсе уходит в зону «что делать, чтобы формально не считалось, что утекло». Тут вспоминаются и технические ухищрения, и искусственные поля в базах, которые можно быстро удалить перед проверкой, и синтетические данные. Все, что помогает отвести удар. Потому что закон законом, а реальность — она другая. И подход к ней у всех свой.

Особое внимание вызвало обсуждение новых смягчающих факторов, прописанных в законодательстве. Если кратко, то компания может избежать оборотного штрафа, если ранее не штрафовалась, использует только сертифицированные средства защиты и тратит на кибербезопасность не менее 0,1% от оборота. Формально — это путь к защите. На практике же, как признались участники, почти никто таких трат себе позволить не может. По свежим данным сообщества «ИТ-Диалог», почти 70% компаний тратят на все ИТ — не только на безопасность — меньше половины процента от выручки. А доля ИБ в этих расходах и вовсе едва дотягивает до десяти процентов от общего ИТ-бюджета. Так что формальные основания для послабления в случае чего — только на бумаге. В реальности у большинства таких шансов просто нет.

Если же это не фейк, а реальная утечка — особенно крупная, — тогда уже не до гипотез. В этом случае, по словам участников, уже не вопрос «была или не была», а «что предприняли». Алексей Лукацкий подчеркнул: регулятор не будет вникать в тонкости расследования на месте — он оперирует фактами, сроками и статьями. Есть утечка? Не уведомили вовремя? Готовьтесь к штрафу.

Еще одна неразрешенная дилемма — как вести себя, если в сети появляется информация о якобы произошедшей утечке, но доказательств нет?

«Если мы говорим про полноценное реагирование на инциденты, — пояснила Анастасия Гайнетдинова, — важно понимать, откуда утекают данные. Если утекли от нас, значит, в наших системах должны быть аномалии. Их видно по логам, по СЗИ. Но если утечка произошла у подрядчика — тут работает механизм атрибуции. Мы маркируем, кому и какой фрагмент передаем. Это позволяет понять, где именно произошел разрыв».

Руслан Ложкин добавил: «С фейками работать проще, чем с реальными утечками. Как правило, можно достаточно быстро понять, что структура опубликованных данных не совпадает с нашей, или данные слишком старые, или искаженные. Главное — успеть за 24 часа, как требует закон, отправить уведомление и приложить аргументы».

На вопрос, как именно получать доступ к «подозрительной базе» — покупать или нет — большинство участников сошлись во мнении: лучше использовать внешние сервисы мониторинга. Покупка на сером рынке чревата, при определенных обстоятельствах даже такая сделка может трактоваться как помощь экстремистским структурам. Подобные случаи уже есть, и последствия могут быть крайне серьезными.

Три шага к спокойствию. Ответственность, процессы и спортзал

К концу обсуждения участники перешли к конкретике — чему научила волна изменений последних лет и какие шаги стоит предпринять уже сейчас, чтобы не попасть впросак.

Первое — разделение ответственности. В любой компании должен быть не один человек, который формально числится оператором персональных данных, а четкое понимание, кто за что отвечает. Даже если Роскомнадзор спрашивает с одного, внутренняя работа должна вестись командно: с зафиксированными ролями, инструкциями и протоколами.

Второе — параллельность бумажной и реальной ИБ. В документах можно красиво описать, как все устроено, но если на деле в системе дыры и никто не следит за конфигурацией, бумага не спасет. Точно так же и наоборот — формальная безупречность без должного контроля в «боевом» режиме может стать причиной серьезных проблем.

Третье — план реагирования на инциденты. Не в голове, не в почте у одного сотрудника, а внятный, проверенный, согласованный сценарий. Что делать, когда случилось. Кто уведомляет Роскомнадзор, кто смотрит логи, кто работает с прессой, кто готовит документы. Чем подробнее продуман этот алгоритм, тем меньше шансов на панику в момент X.

Не обошли вниманием и слабые места. Один из таких — согласия на обработку. То, насколько грамотно и подробно они составлены, часто определяет, есть ли у компании шанс защититься, если все-таки что-то случилось.

И еще один важный элемент — документация потока обработки данных, та самая карта RoPA: откуда приходят данные, зачем собираются, как хранятся и когда удаляются. Это сложно и долго, но в критический момент именно она помогает понять, что зацепилось при инциденте и как из этого выбираться.

Ну а напоследок — неожиданный, но вполне уместный совет: заботьтесь о себе. Пейте воду, ешьте фрукты, двигайтесь. Потому что никакая система защиты не работает, если те, кто ее строят, выгорели раньше дедлайна.

***

На прощание Алексей Лукацкий подвел итоги: за полтора часа участники не нашли универсальных рецептов, но в разговоре прозвучало немало практических советов — и по документообороту, и по архитектуре защиты, и по взаимодействию с подрядчиками. Главное же — вектор меняется: сам закон о персональных данных остается прежним, но все строже становится ответственность за его нарушение.

Бюрократическое отношение — скачал шаблон, заполнил политику обработки и положил в папку — больше не работает. В эпоху оборотных штрафов, ужесточенного контроля и появления новых регуляторных сюжетов — от биометрии до обязательной локализации — компаниям придется углубляться. В технологии, в процессы, в смыслы. Иначе крайним может оказаться любой — независимо от должности и структуры.