Времена мизерных штрафов за утечку персональных данных прошли. Что дальше
21 апреля 2022 года мировой суд Москворецкого района Москвы оштрафовал сервис «Яндекс.Еда» на 60 тыс. руб. за утечку данных о 58 тыс. пользователей. Потеря целого пакета сведений, включающих имя, телефон, адрес, код домофона и статистику трат, обошлась нарушителю в 1 руб. в пересчете на каждого пользователя. В декабре 2022 года проштрафился уже «Яндекс.Практикум»: суд взыскал 100 тыс. руб. за утечку 300 тыс. записей.
Компании восприняли тот факт, что оба дела закончились ничтожными по размеру взысканиями и небольшими репутационными издержками, как вполне однозначный сигнал: проще платить штрафы, чем соблюдать законодательство. Это более оправданно экономически: даже максимальное взыскание — 500 тыс. руб. — обходится намного дешевле, чем выстраивание реальной защиты от потери данных.
«Налог на утечки» остался в прошлом
Законодатель понял настрой компаний и начал целенаправленную работу, чтобы его изменить. Ее результатом стали три закона.
- Федеральный закон от 24.02.2021 № 19-ФЗ и федеральный закон от 11.06.2021 № 206-ФЗ ставят размеры штрафов в зависимость от масштабов утечки и от того, допускает ли компания провинность впервые или повторно. Помимо штрафа законы предусматривают персональную ответственность конкретного должностного лица за утечку.
- Федеральный закон от 14 июля 2022 года № 266-ФЗ предписывает каждой из организаций, в которых произошел инцидент с персональными данными, в течение суток уведомлять Роскомнадзор о нем, а в течение 72 часов передать в ведомство результаты внутреннего расследования с указанием ответственных. Кроме того, закон обязывает организациям быстрее, чем раньше (в течение 10 дней вместо 30), отвечать на запросы Роскомнадзора.
Перечень проступков, за которые может быть наложено денежное взыскание, расширился: