Найти в Дзене
Андрей Андреев: право и бизнес
947 подписчиков

Оборотные штрафы за утечку персональных данных

231
2 мин
С 30 мая 2025 года в России вступают в силу изменения в законодательстве, ужесточающие ответственность за утечку персональных данных. Федеральный закон от 30.11.2024 № 420-ФЗ вводит оборотные штрафы, которые могут достигать значительных сумм в зависимости от масштаба утечки и повторности нарушения. 1. Провести аудит информационной безопасности: оценить текущие меры защиты данных и выявить уязвимости. 2. Обновить внутренние политики и процедуры: обеспечить соответствие новым требованиям законодательства. 3. Обучить сотрудников: повысить осведомленность персонала о рисках и мерах защиты персональных данных. 4. Внедрить системы мониторинга и реагирования: обеспечить своевременное обнаружение и реагирование на инциденты безопасности. 1) Зафиксировать инцидент и начать внутреннее расследование Сразу после обнаружения утечки: 2) Уведомить Роскомнадзор. Срок — в течение 24 часов с момента обнаружения инцидента. Уведомление должно содержать: Форма уведомления — утвержденная. Обычно подается ч
Оглавление

С 30 мая 2025 года в России вступают в силу изменения в законодательстве, ужесточающие ответственность за утечку персональных данных. Федеральный закон от 30.11.2024 № 420-ФЗ вводит оборотные штрафы, которые могут достигать значительных сумм в зависимости от масштаба утечки и повторности нарушения.

Изображение взято из Freepik
Изображение взято из Freepik

Рекомендации для компаний:

1. Провести аудит информационной безопасности: оценить текущие меры защиты данных и выявить уязвимости.

2. Обновить внутренние политики и процедуры: обеспечить соответствие новым требованиям законодательства.

3. Обучить сотрудников: повысить осведомленность персонала о рисках и мерах защиты персональных данных.

4. Внедрить системы мониторинга и реагирования: обеспечить своевременное обнаружение и реагирование на инциденты безопасности.

Что делать при утечке данных?

1) Зафиксировать инцидент и начать внутреннее расследование

Сразу после обнаружения утечки:

  • Зафиксируйте инцидент техническими средствами (логи, скриншоты, дата-время и т.д.).
  • Оцените: какой объем данных ушел, к каким категориям относятся (общие/биометрические/специальные).
  • Назначьте внутреннюю комиссию для анализа причин утечки.
  • Важно: если данные попали к третьим лицам (даже потенциально), это уже считается инцидентом обработки ПДн по закону.

2) Уведомить Роскомнадзор.

Срок — в течение 24 часов с момента обнаружения инцидента.

Уведомление должно содержать:

  • Описание инцидента и обстоятельства утечки.
  • Принятые или планируемые меры по устранению последствий.
  • Контактное лицо для связи.

Форма уведомления — утвержденная. Обычно подается через личный кабинет на портале Роскомнадзора.

3) Уведомить субъектов данных

Если утечка может повлечь риски для прав и свобод граждан, необходимо оповестить пострадавших — физлиц, чьи данные утекли.

Что сообщать:

  • Какие именно данные были раскрыты.
  • Когда произошла утечка.
  • Какие меры компания уже приняла.
  • Рекомендации — например, сменить пароль, быть осторожным с фишингом и т.п

4) Документировать все действия

Это критически важно, особенно если дело дойдет до проверки или суда.

Храните:

  • Акт расследования инцидента.
  • Копию уведомления Роскомнадзора и подтверждение его получения.
  • План и отчеты по устранению последствий.
  • Переписку с субъектами данных (если была).

Эти документы могут смягчить возможные санкции, если покажут, что организация действовала добросовестно.

Почему важно действовать строго по алгоритму?

Если компания:

  • не сообщит о факте утечки, либо сделает это с опозданием,
  • не предприметдостаточные меры для предотвращения повторов,
  • не уведомит граждан — то штраф может вырасти многократно.

И при повторной утечке выручка за год будет учитываться при расчете штрафа (1–3% оборота).

1
Безопасность и правопорядок
95,2 тыс интересуются