«Большинство российских компаний при помощи сайтов, мобильных приложений и иных цифровых платформ собирают, хранят и обрабатывают персональные данные клиентов. К сожалению, в последние годы участились случаи их утечки. Одна из причин, почему бизнес не беспокоится об этом, — незначительные штрафные санкции. Пока максимальный размер — 100 тысяч, но планируется поднять потолок до полумиллиарда рублей», — говорит CEO юридического агентства «АргументЪ» Елена Аношкина. В своем блоге она рассказала о том, что именно относится к персональным данным, сколько часов по закону есть у компании, чтобы сообщить об их утечке, и как действовать, если что-то пошло не так.
Елена Аношкина, CEO юридического агентства «АргументЪ»: «Большинство российских компаний при помощи сайтов, мобильных приложений и иных цифровых платформ собирают, хранят и обрабатывают персональные данные клиентов. К сожалению, в последние годы участились случаи их утечки»
У бизнеса есть всего 24 часа: как и куда сообщать об утечке персональных данных
Прежде чем рассказать о последствиях, наступающих за утерю персональных данных клиентов, давайте поймем, что к ним относится. У понятия «персональные данные» есть два толкования. Первое заложено в федеральном законе №152-ФЗ. Закон говорит, что к таковым можно отнести любую информацию, которая прямо или косвенно определяет физическое лицо.
Но обратимся к практике! Со ссылкой на несколько судебных источников я могу сказать, что правоприменение несколько шире, нежели буквальное толкование закона. К персональным данным, помимо фамилии, имени, отчества, даты, месяца и года рождения, адреса, семейного, социального и имущественного положения, суды относят еще образование, профессию и доходы. Кроме того, нам нужно упомянуть и о понятии «операторы персональных данных».
Оператор персональных данных — это любая организация независимо от ее организационно-правовой формы, осуществляющая обработку таких данных.
![Елена Аношкина CEO юридического агентства «АргументЪ»](http://cdnp.business-online.ru/v2/24-03-14/795c/krug.jpg)
Что делать, если вы обнаружили утечку персональных данных? На этот случай существует регламент:
- В течение 24 часов сообщить о ней в Роскомнадзор (РКН);
- В течение 72 часов нужно подготовить повторное обращение с результатами внутреннего расследования.
Надо понимать, что компания не всегда обладает возможностью в точности установить причину утечки. Это могла быть и халатность, и хакерские действия. Профессиональным расследованием впоследствии будут заниматься эксперты. Но на этом этапе — в течение 24 часов — юридическое лицо обязано сделать все вышеперечисленные мною действия.
Что еще нужно будет сообщить в Роскомнадзор:
- Предполагаемые причины утечки данных;
- Оценить вред, который нанесен субъектам персональных данных;
- Уведомить о мерах, которые приняла компания, чтобы устранить последствия утечки;
- Сообщить сведения о лице, уполномоченном оператором на взаимодействие с РКН. Это сообщение, в соответствии с регламентом, можно передать через портал персональных данных. У РКН на этом портале есть специальный сервис, который находится в разделе «Инциденты» или «Утечки».
Сейчас за утечку персональных данных нарушителя штрафуют на 50–100 тыс. рублей
Дума хочет поднять штрафы за утечку данных с 100 тысяч до 500 миллионов?
Какие последствия за утечку персональных данных? Сейчас предусмотренная ответственность невелика: нарушителя штрафуют по ст. 13.11 КоАП РФ. Юридическое лицо заплатит от 50 тыс. до 100 тыс. рублей.
Казалось бы, сумма штрафа такая, что не стоит вокруг этой темы и рассуждать, — утечка произошла, но ответственность небольшая. Однако Государственная Дума РФ в первом чтении приняла инициативы об усилении ответственности за утечку персональных данных.
Предлагается увеличить фиксированный штраф и ввести оборотный штраф. Он привязан к объему выручки за календарный год или за часть текущего года. Но при этом законопроект предусматривает коридор штрафа: не менее 15 миллионов и не более полумиллиарда.
![Елена Аношкина CEO юридического агентства «АргументЪ»](http://cdnp.business-online.ru/v2/24-03-14/3a0c/krug.jpg)
Мы ожидаем принятия закона во втором чтении. Это гигантские цифры, которые взволновали бизнес и всю юридическую сферу. Речь пойдет об очень значительном ущербе для компании после уплаты такого оборотного штрафа.
Кроме того, сейчас на обсуждении вопрос об ужесточении уголовной ответственности за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем. С реальными сроками. Предполагается до 10 лет лишения свободы со штрафом до 3 млн рублей. Это, конечно, серьезная новелла для российского государства.
«У нас достаточно компетенций и опыта, чтобы разработать грамотное юридическое решение для компании из любой сферы, чья деятельность так или иначе связана с обработкой, хранением персональных данных»
Как законно оградить себя от штрафа за утечку персональных данных?
После введения государством серьезных мер ответственности, я думаю, бизнес встрепенется и обратит внимание на необходимость усилить безопасность и обеспечить надлежащее хранение персональных данных. На мой взгляд, стоит воспользоваться услугами юристов для того, чтобы все было регламентировано и не возникло почвы для ответственности. «Кто предупрежден — тот вооружен».
Например, наше юридическое агентство «АргументЪ» уже имеет подобные кейсы в своем портфолио. К нам обратился клиент, потому что, к сожалению, допустил утечку части персональных данных.
Наша задача — обеспечение юридической безопасности клиента, чей бизнес связан со сбором персональных данных.
![Елена Аношкина CEO юридического агентства «АргументЪ»](http://cdnp.business-online.ru/v2/24-03-14/f219/krug.jpg)
Как мы это делаем? Например, некая цифровая платформа (условное название «Э») предоставляет определенные услуги бизнесу (условное название «Б»), но не конечным потребителям.
Услугами «Б» пользуются конечные потребители (физические лица). «Э» — хранитель огромного количества персональных данных своих клиентов, но не хочет нести материальную ответственность в случае их утечки.
Какое решение мы предложили в данной ситуации: во-первых, «Э» должен передать хранение персональных данных своих конечных клиентов контрагентам («Б»), чтобы они занимались сбором, хранением и безопасностью этих данных. Во-вторых, наше агентство готовит документальную базу по разграничению ответственности, чтобы четко регламентировать, кто в данном случае является оператором персональных данных.
При такой многоступенчатой системе взаимоотношений наш клиент не будет нести ответственности при утечке, потому что де-факто не будет владельцем этой базы, что будет подтверждаться соответствующими документами, где четко прописано, кто и за что отвечает.
У нас достаточно компетенций и опыта, чтобы разработать грамотное юридическое решение для компании из любой сферы, чья деятельность так или иначе связана с обработкой, хранением персональных данных. Позаботиться об этом лучше заблаговременно — ведь, когда примут новые штрафы, любая ошибка может стать фатальной для бизнеса.
Елена Аношкина
Мнение авторов блогов не обязательно отражает точку зрения редакции
Юридическое агентство «АргументЪ»
Адрес: г. Казань. ул. Чистопольская, 20б
Телефон: +7 960 048-00-33
Сайт: argumentkazan.ru
Телеграм-канал: t.me/lawargument
Мобильное приложение: app.argumentkazan.ru
YouTube: youtube.com/@anoshkina
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 0
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.