Утечка с отсрочкой: бизнесу дали время до 30 мая избежать санкций

Меры ответственности за утечки персональных данных, информация о которых поступит в уполномоченные органы до 30 мая, будут применяться в соответствии с действующим законодательством — без штрафов за неуведомление Роскомнадзора и без оборотных штрафов. Если же о компрометации станет известно после этой даты, вступят в силу более жёсткие нормы регулирования, и ответственность за инциденты будет уже согласно этим нормам. Об этом сообщил заместитель руководителя Роскомнадзора Милош Вагнер.

Вагнер уточнил, что датой правонарушения, связанного с утечкой ПДн, считается момент, когда было подтверждено раскрытие информации неограниченному кругу лиц. Таким подтверждением может быть, например, опубликование базы данных злоумышленником либо получение уведомления от самого оператора, допустившего утечку данных. В этой связи Вагнер подчеркнул, что если оператор уже располагает достоверной информацией о компрометации, следует направить уведомление в Роскомнадзор до 30 мая, не дожидаясь возможной публикации базы данных.

После вступления в силу новой редакции КоАП не только сам факт, но и неуведомление Роскомнадзора об утечке персональных данных также будет рассматриваться как правонарушение. «Поэтому у компаний до 30 мая есть время, чтобы проинформировать уполномоченные органы о произошедших ранее инцидентах. И тогда, соответственно, к ним будут применяться меры ответственности, предусмотренные действующим сегодня законодательством», — отметил Милош Вагнер.

Новое регулирование в сфере персональных данных закреплено двумя федеральными законами, подписанными 30 ноября 2024 года. Федеральный закон № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» предусматривает ответственность за получение персональных данных без законных оснований, а также за неправомерный доступ к ним. Федеральный закон № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» усиливает ответственность за нарушения при обработке и хранении персональных данных. Документ вводит новые составы правонарушений, расширяет перечень административных санкций, включая оборотные штрафы, и предусматривает механизмы снижения размера наказаний при наличии смягчающих обстоятельств. Уголовная ответственность применяется с 11 декабря 2024 года, а административные штрафы за утечки данных, нарушения обработки ПДн и отсутствие уведомления Роскомнадзора вступят в силу с 30 мая 2025 года.

Согласно опросу InfoWatch и BISA, 58% респондентов принимают организационные меры и готовятся к проверкам. С другой стороны, 28% опрошенных компаний бездействуют или не считают эти изменения чем-то важным. При этом 53% участников опроса планируют или уже приняли необходимые меры, но уверенности в том, что они всё предусмотрели, у них, тем не менее, нет.

На вопрос о том, чего именно не хватает для улучшения защиты персональных данных в организациях, респонденты не называли финансовую поддержку, технические средства или другие материальные ресурсы. Почти половина опрошенных — 45% — указали на отсутствие понимания со стороны руководства и сотрудников.

По данным компании F6, в первом квартале 2025 года зарегистрировано 67 случаев публикации баз данных российских компаний — почти на треть меньше, чем годом ранее. Причиной снижения стало активное удаление Telegram-чатов, распространявших такие данные.