От утечек до штрафов: защита информации и персональных данных в цитатах
Теперь любая компания может в любой момент получить требование регулятора о предоставлении обезличенных персональных данных в госсистему. В нем указываются состав данных, срок и метод обезличивания. Иногда в требовании может быть указан конкретный метод, а иногда компаниям могут оставить выбор. Таких методов несколько, и они меняют данные так, что без дополнительной информации невозможно установить конкретного человека, и в итоге формируются массивы больших данных, которые нужны государству.
❯❯ Наталия Спицына, старший юрист Seven Hills Legal: «Представители Роскомнадзора склоняются к более строгому варианту толкования отдельного согласия. Оно предполагает отдельный материальный носитель, на котором такое согласие изложено. В частности, подпись комплекта документов одной электронно-цифровой подписью не будет считаться отдельным согласием. Для этого необходимо отдельное действие — отдельная подпись, отдельная галочка или какое-то другое конкретное действие, которое выражает именно согласие на обработку. Включать согласие в тексты иных документов недопустимо. Более того, оформление согласия на оборотной стороне другого документа тоже не будет соответствовать новой норме».
В новой редакции статьи о локализации из текста убрали слово «оператор». Раньше обязанность возлагалась только на него, и оставалась лазейка: если оператор поручал обработку подрядчику, требование формально не распространялось. Теперь норма сформулирована безлично: при сборе персональных данных запись и хранение должны происходить в базах внутри России. Это значит, что под обязанность подпадают все участники процесса — и оператор, и обработчик, и любые иные лица, вовлеченные в сбор данных.
❯❯ Анастасия Кузьмина, советник i-Legal: «Только представьте: пара неверных кликов сотрудника — и компания рискует потерять несколько миллионов, а иногда и десятки или сотни миллионов. Это не преувеличение, а новая реальность 2025 года. Самое серьезное новшество — оборотные штрафы за повторные утечки от 1 до 3% годового оборота. То есть если бизнес в течение года допустил повторную утечку, он должен быть готов заплатить минимум 20 млн руб. И это еще без учета уголовной ответственности. Новая статья УК предусматривает до четырех лет лишения свободы, а в ряде случаев — и до десяти».
Мы живем в правовой среде, где законодательство о персональных данных написано, мягко говоря, скверно. Отсюда и проблема: санкции кратно увеличиваются, появляется уголовная ответственность, а мы должны ломать голову, что именно имел в виду законодатель. Все сообщество пользуется термином «утечка», хотя легального определения этого слова нет. Мы вынуждены полагаться на интерпретации, в частности, Роскомнадзора в том, что считать утечкой, а что нет. Это, на мой взгляд, одна из самых серьезных проблем нашего законодательства.
❯❯ Ирина Левова, директор по стратегическим проектам «Ассоциация больших данных»: «Фиксированный штраф за первую утечку не стимулирует инвестировать в информационную безопасность — для крупного бизнеса ничего не меняется. Приходит безопасник и говорит: дайте еще пять миллионов на защиту. А бизнес отвечает: у нас и так заложено 15 миллионов в рисковый бюджет, зачем давать еще? В итоге компания выбирает заплатить штраф, а не вкладываться в реальные меры. Логичнее было бы распространить смягчающие обстоятельства и на первую утечку, чтобы мотивировать тратить деньги на защиту, а не на риски».
Искусственный интеллект сегодня становится помощником не только для бизнеса, но и для мошенников. В одном из дел 2025 года группа людей без образования использовала чат-бот для всего цикла преступления — от выявления уязвимых компаний и написания вредоносного ПО до анализа похищенной информации и подготовки фишинговых писем. Каждое письмо было персонализировано под адресата. К счастью, их поймали, но история показала, что ИИ способен автоматизировать кибератаку от начала до конца.
❯❯ Наталья Ковалева, руководитель практики персональных данных и регулирования интернет-сервисов «Хэдхантера»: «В ст. 272.1 УК изначально нет криминообразующих признаков. Получается, что любое действие с персональными данными — парсинг сайтов, сравнение базы с „дампом“ при расследовании утечки — формально может подпасть под уголовную ответственность. Сейчас дела возбуждаются в основном против продавцов баз данных или должностных лиц, но риск есть для любой компании. Именно нечеткость формулировки и делает эту норму самой опасной».
❯❯ Ирина Горячева, data privacy manager «Акрихина»: «Держите данные актуальными в реестре операторов персональных данных. Об этом часто забывают, и внутри компании все уже три раза поменяли, а в реестре сведения не обновили. Это важно, иначе будут сложности при проверках».
Аудит трансграничных потоков стоит начинать как с ресурсов оператора в интернете, которые он использует для продвижения своего бизнеса, так и с IT-инфраструктуры, которая используется при организации бизнес-процессов. Ведь даже банальная организация деловой переписки и использования иностранного облачного ресурса может содержать в себе как раз таки трансграничную передачу персональных данных.
❯❯ Мария Шурукина, старший юрист группы правовой поддержки защиты данных «Авито»: «Реестр помогает компании управлять рисками. Прежде всего это источник информации для отчетности, подачи уведомлений, плюс для обновления публичного документа компании — политики конфиденциальности, мы стараемся все поддерживать в актуальном состоянии. Также это распределение ответственности: все не ложится на плечи только команды DPO, но и владельцы отвечают за корректную работу с персональными данными в своих процессах».
В большинстве дел суды прямо говорят, что подача уведомления — это исполнение законной обязанности оператора, а не отдельное смягчающее обстоятельство. Но мы также рекомендуем принимать во внимание, что своевременное уведомление будет в любом случае в досье добросовестности записано и не сыграет в противоположную сторону.
❯❯ Дарья Калиш, юрист по работе с персональными данными «Солара»: «Системы предотвращения утечек данных (DLP) нужно легитимизировать посредством разработки соответствующих локальных актов, в которых будут прописаны пределы использования DLP, правила работы с информацией, чтобы использование такой системы было ожидаемо и прозрачно для работников компании».
❯❯ Камила Мухамеджанова, менеджер по развитию продукта «1ОПД»: «Никто не застрахован от внеплановой проверки Роскомнадзора, и основанием может стать жалоба субъекта или установление утечки. Поэтому готовиться нужно заранее — от аудита процессов и актуализации уведомлений до технических мер и локальных актов».
❯❯ Екатерина Ефимова, руководитель направления персональных данных ГРЧЦ (Роскомнадзор): «Очень часто какие-то ошибки, несоответствия у операторов встречаются по невнимательности. То есть не по какому-то злому умыслу или из специального желания обмануть пользователей и, тем более, Роскомнадзор, а просто из-за невнимательности. Тут не усмотрели, там не усмотрели, тут вроде бы какой-то документ разместили, но не тот. И это мы выясняем, к сожалению, уже по факту разбирательства».
При проверке сайтов Роскомнадзор чаще всего фиксирует типовое нарушение — отсутствие согласия на обработку персональных данных в форме обратной связи. Но не согласием единым: собирать данные можно и на других основаниях, например через договор или правила и условия обработки. Это лучше, чем требовать обязательную галочку только ради того, чтобы пользователь отправил запрос в компанию.
❯❯ Егор Смородинов, директор по защите данных «ВкусВилла»: «Мы решили, что политика — это тоже коммуникация с пользователем, и она должна соответствовать нашему брендбуку. Политика должна быть простой и понятной, а закон написан сложно, поэтому мы переписываем требования так, чтобы их мог понять даже ребенок. Мы честно раскрываем, кому и зачем передаем данные, включая Google, и показываем пользователю полный перечень обработчиков. Чтобы документ был еще удобнее, мы структурировали его в таблицы: отдельный блок о целях обработки, отдельный — о категориях данных и правовых основаниях. Все максимально структурировано и прозрачно».
❯❯ Максим Али, партнер Comply: «Пользовательское соглашение — это полезный инструмент, который нужно использовать и о котором не стоит забывать. Он позволяет вывести часть отношений с пользователем из-под действия закона „О защите прав потребителей“, предоставляя некий функционал сайта как безвозмездный. Тем самым можно ограничить претензии, которые связаны со сбоями, некорректной информацией или размещением контента. Дистанцировать, что конкретная информация относится к B2B-сектору и не относится к праву потребителей».
Все презентации спикеров конференции доступны по ссылке.