«Большинство российских компаний при помощи сайтов, мобильных приложений и иных цифровых платформ собирают, хранят и обрабатывают персональные данные клиентов. К сожалению, в последние годы участились случаи их утечки. Одна из причин, почему бизнес не беспокоится об этом, — незначительные штрафные санкции. Пока максимальный размер — 100 тысяч, но планируется поднять потолок до полумиллиарда рублей», — говорит CEO юридического агентства «АргументЪ» Елена Аношкина. В своем блоге она рассказала о том, что именно относится к персональным данным, сколько часов по закону есть у компании, чтобы сообщить об их утечке, и как действовать, если что-то пошло не так.
Елена Аношкина, CEO юридического агентства «АргументЪ»: «Большинство российских компаний при помощи сайтов, мобильных приложений и иных цифровых платформ собирают, хранят и обрабатывают персональные данные клиентов. К сожалению, в последние годы участились случаи их утечки»
У бизнеса есть всего 24 часа: как и куда сообщать об утечке персональных данных
Прежде чем рассказать о последствиях, наступающих за утерю персональных данных клиентов, давайте поймем, что к ним относится. У понятия «персональные данные» есть два толкования. Первое заложено в федеральном законе №152-ФЗ. Закон говорит, что к таковым можно отнести любую информацию, которая прямо или косвенно определяет физическое лицо.
Но обратимся к практике! Со ссылкой на несколько судебных источников я могу сказать, что правоприменение несколько шире, нежели буквальное толкование закона. К персональным данным, помимо фамилии, имени, отчества, даты, месяца и года рождения, адреса, семейного, социального и имущественного положения, суды относят еще образование, профессию и доходы. Кроме того, нам нужно упомянуть и о понятии «операторы персональных данных».
Оператор персональных данных — это любая организация независимо от ее организационно-правовой формы, осуществляющая обработку таких данных.
Что делать, если вы обнаружили утечку персональных данных? На этот случай существует регламент:
- В течение 24 часов сообщить о ней в Роскомнадзор (РКН);
- В течение 72 часов нужно подготовить повторное обращение с результатами внутреннего расследования.
Надо понимать, что компания не всегда обладает возможностью в точности установить причину утечки. Это могла быть и халатность, и хакерские действия. Профессиональным расследованием впоследствии будут заниматься эксперты. Но на этом этапе — в течение 24 часов — юридическое лицо обязано сделать все вышеперечисленные мною действия.
Что еще нужно будет сообщить в Роскомнадзор:
- Предполагаемые причины утечки данных;
- Оценить вред, который нанесен субъектам персональных данных;
- Уведомить о мерах, которые приняла компания, чтобы устранить последствия утечки;
- Сообщить сведения о лице, уполномоченном оператором на взаимодействие с РКН. Это сообщение, в соответствии с регламентом, можно передать через портал персональных данных. У РКН на этом портале есть специальный сервис, который находится в разделе «Инциденты» или «Утечки».
Сейчас за утечку персональных данных нарушителя штрафуют на 50–100 тыс. рублей
Дума хочет поднять штрафы за утечку данных с 100 тысяч до 500 миллионов?
Какие последствия за утечку персональных данных? Сейчас предусмотренная ответственность невелика: нарушителя штрафуют по ст. 13.11 КоАП РФ. Юридическое лицо заплатит от 50 тыс. до 100 тыс. рублей.
Казалось бы, сумма штрафа такая, что не стоит вокруг этой темы и рассуждать, — утечка произошла, но ответственность небольшая. Однако Государственная Дума РФ в первом чтении приняла инициативы об усилении ответственности за утечку персональных данных.
Предлагается увеличить фиксированный штраф и ввести оборотный штраф. Он привязан к объему выручки за календарный год или за часть текущего года. Но при этом законопроект предусматривает коридор штрафа: не менее 15 миллионов и не более полумиллиарда.
Мы ожидаем принятия закона во втором чтении. Это гигантские цифры, которые взволновали бизнес и всю юридическую сферу. Речь пойдет об очень значительном ущербе для компании после уплаты такого оборотного штрафа.
Кроме того, сейчас на обсуждении вопрос об ужесточении уголовной ответственности за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем. С реальными сроками. Предполагается до 10 лет лишения свободы со штрафом до 3 млн рублей. Это, конечно, серьезная новелла для российского государства.
«У нас достаточно компетенций и опыта, чтобы разработать грамотное юридическое решение для компании из любой сферы, чья деятельность так или иначе связана с обработкой, хранением персональных данных»
Как законно оградить себя от штрафа за утечку персональных данных?
После введения государством серьезных мер ответственности, я думаю, бизнес встрепенется и обратит внимание на необходимость усилить безопасность и обеспечить надлежащее хранение персональных данных. На мой взгляд, стоит воспользоваться услугами юристов для того, чтобы все было регламентировано и не возникло почвы для ответственности. «Кто предупрежден — тот вооружен».
Например, наше юридическое агентство «АргументЪ» уже имеет подобные кейсы в своем портфолио. К нам обратился клиент, потому что, к сожалению, допустил утечку части персональных данных.
Наша задача — обеспечение юридической безопасности клиента, чей бизнес связан со сбором персональных данных.
Как мы это делаем? Например, некая цифровая платформа (условное название «Э») предоставляет определенные услуги бизнесу (условное название «Б»), но не конечным потребителям.
Услугами «Б» пользуются конечные потребители (физические лица). «Э» — хранитель огромного количества персональных данных своих клиентов, но не хочет нести материальную ответственность в случае их утечки.
Какое решение мы предложили в данной ситуации: во-первых, «Э» должен передать хранение персональных данных своих конечных клиентов контрагентам («Б»), чтобы они занимались сбором, хранением и безопасностью этих данных. Во-вторых, наше агентство готовит документальную базу по разграничению ответственности, чтобы четко регламентировать, кто в данном случае является оператором персональных данных.
При такой многоступенчатой системе взаимоотношений наш клиент не будет нести ответственности при утечке, потому что де-факто не будет владельцем этой базы, что будет подтверждаться соответствующими документами, где четко прописано, кто и за что отвечает.
У нас достаточно компетенций и опыта, чтобы разработать грамотное юридическое решение для компании из любой сферы, чья деятельность так или иначе связана с обработкой, хранением персональных данных. Позаботиться об этом лучше заблаговременно — ведь, когда примут новые штрафы, любая ошибка может стать фатальной для бизнеса.
Елена Аношкина
Мнение авторов блогов не обязательно отражает точку зрения редакции
Юридическое агентство «АргументЪ»
Адрес: г. Казань. ул. Чистопольская, 20б
Телефон: +7 960 048-00-33
Сайт: argumentkazan.ru
Телеграм-канал: t.me/lawargument
Мобильное приложение: app.argumentkazan.ru
YouTube: youtube.com/@anoshkina
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 0
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.