Как будут работать новые штрафы за нарушения с персональными данными

ПЕРВАЯ УТЕЧКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор получит штраф по новому закону, если выявлены оба условия:

  • ▪ Утечка данных случилась после 30.05.2025;
  • ▪ Отсутствуют признаки преступления, например, умышленные действия инсайдера.

      • Оператор избежит штрафа по новому закону, если выполнено хотя бы одно условие:

      • ▪ Утечка случилась до 30.05.2025 и о ней стало известно после этой даты;
      • ▪ В отношении виновника утечки возбуждено уголовное дело.

          • Как минимизировать риск утечки ПДн и штрафа за инцидент?

          Объем затрат на ИБ, понесенных организацией, не влияет на размер штрафа при первом инциденте, однако:

          Использование DLP и DCAP поможет:

          • ▪ Минимизировать риск инцидента, пресечь его предпосылки
          • ▪ Доказать отсутствие утечки, если инцидента не было
          • ▪ Доказать возникновение инцидента до 30.05.2025
          • ▪ Найти инсайдера, доказать его причастность, снять ответственность с организации
          • ▪ Доказать добросовестность организации
          • в части защиты персональных данных, повысить шансы на назначение минимального наказания.

          Использование SIEM поможет:

          • ▪ Доказать факт внешней атаки, перенести ответственность на злоумышленников
          • ▪ Доказать добросовестность организации в части защиты персональных данных, повысить шансы на назначение минимального наказания.

          Какой штраф получит организация в случае инцидента?

          Если утекло…Штраф составит…
          Менее 10 000 записей или записи
          о менее 1000 людей          		150-300 тысяч рублей
          10-100 тысяч записей или записи
          об 1-10 тысячах людей          		3-5 млн рублей
          100 001 – 1 млн записей или записи
          о 10 001 – 100 000 людей          		5-10 млн рублей
          Более 1 млн записей или записи о более
          100 000 людей, или персданные специальных категорий в любом количестве          		10-15 млн рублей

          Наложение штрафа на бизнес исключает ответственность за инцидент его должностных лиц.

          Какой штраф получит должностное лицо в случае инцидента?

          Если утекло…Штраф составит…
          Менее 10 000 записей
          или записи о менее 1000 людей           		50-100 тысяч рублей
          10-100 тысяч записей или записи
          об 1-10 тысячах людей          		200-400 тысяч рублей
          100 001 – 1 млн записей или записи
          о 10 001 – 100 000 людей          		300-500 тысяч рублей
          Более 1 млн записей или записи о более 100 000 людей400-600 тысяч рублей
          Персданные специальных категорий
          в любом количестве          		1-1,3 млн рублей

          На органы власти, государственные и муниципальные учреждения не налагается штраф для юридических лиц. В этих организациях к ответственности привлекается должностное лицо: ИБ-специалист, ИБ-руководитель, сотрудник или руководитель организации, допустивший утечку.

          ПОВТОРНЫЕ УТЕЧКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

          Оператор персданных получит штраф, если:

          • ▪ Предприятие или должностное лицо было наказано за утечку в течение года
          • ▪ Обе утечки произошли после 30.05.2025

          Какой штраф получит организация?

          Если утекло…Штраф составит…
          Менее 10 000 записей или записи
          о менее 1000 людей          		300-500 тысяч рублей
          Более 10 000 записей или записи
          более 1000 людей          		1-3% выручки за прошлый год
          в пределах 20-500 млн рублей<.td>
          Персданные спецкатегорий
          в любом количестве          		1-3% выручки за прошлый год
          в пределах 25-500 млн рублей

          Какой штраф получит должностное лицо?

          Если утекло…Штраф составит…
          Менее 10 000 записей или записи
          о менее 1000 людей          		100-200 тысяч рублей
          Более 10 000 записей или записи более 1000 людей800 тысяч – 1,2 млн рублей
          Персданные спецкатегорий в любом количестве1,5 – 2 млн рублей

          Штраф за повторные нарушения снижается в 10 раз, при соблюдении всех следующих условий:

          Оператор не менее 3 лет до инцидента расходовал на ИБ-меры 0,1% от выручки. Для принятия ИБ-мер привлечена организация, лицензированная ФСТЭК на деятельность по технической защите информации:

          • ▪ Внедрение СЗИ от лицензированных вендоров и их эксплуатация;
          • ▪ ИБ-аутсорсинг от лицензированных провайдеров.

          Оператор может подтвердить соблюдение требований по защите персданных и подтверждающие документы получены за год до инцидента или позднее. Среди подтверждающих документов:

          • ▪ Приказы о порядке обработки и защиты персданных в организации
          • ▪ Приказы о назначении ответственных за защиту персданных
          • ▪ Приказы о внедрении средств защиты информации

          ЧЕМ ЕЩЕ ПОМОГУТ DCAP И DLP?

          Обнаружить персональные данные в файлах организации.

          Чтобы:

          • ▪ Уведомить Роскомнадзор об обработке персданных;
          • ▪ Исключить штраф: 100-300 т.р. для бизнеса, 30-50 т.р. для должностных лиц;

          Обнаружить факты утечек персональных данных

          Чтобы:

          • ▪ Уведомить Роскомнадзор об инциденте;
          • ▪ Исключить штраф: 1-3 млн р. для бизнеса, 400-800 т.р. для должностных лиц;
          • ▪ Расследовать инцидент: найти реального инсайдера и доказать его вину.