Привет! Сегодня напомним о наиболее важных изменениях в законодательстве, касающихся персональных данных. Некоторые изменения актуальны с марта 2025.

Что изменится?

Изменения в законодательстве направлены на повышение прозрачности и безопасности обработки персональных данных, а также повышения уровня ответственности за нарушения требований к обработке персональных данных.

Основные изменения

Повышенные штрафы за утечки данных

• Утечка данных 1−10 тысяч субъектов: штрафы от 3 до 5 млн рублей

• Более 100 тысяч субъектов: до 15 млн рублей

• Повторные утечки: до 3% годового оборота компании

Жёсткие требования к Единой биометрической системе (ЕБС)

• Несанкционированное использование ЕБС обойдётся в штраф от 500 тыс. до 1 млн рублей

• Обработка данных без аккредитации: от 1 до 2 млн рублей

Уголовная ответственность за нарушения

• Незаконная обработка данных грозит штрафами до 700 тыс. рублей или лишением свободы до 5 лет

• Серьёзные утечки с последствиями: до 10 лет лишения свободы

Для большей наглядности мы свели всё в табличку.

На всякий случай напомним, что изменения затрагивают все организации, работающие с персональными данными.

Чтобы соответствовать новым требованиям, важно начать подготовку уже сейчас. Мы рекомендуем проверить вашу готовность к нововведениям и базово пройтись хотя бы по основным пунктам.

• Аналитика текущих процессов. Проведите аудит обработки данных, чтобы выявить потенциальные риски утечек и нарушения законодательства.

• Инвестируйте в безопасность. Увеличьте бюджет на информационную безопасность. Закон предусматривает смягчение штрафов, если компания тратит не менее 0,1% выручки на ИБ.

• Технические и организационные меры. Внедрите системы мониторинга утечек, контроля доступа и защиты данных, включая шифрование и резервное копирование.

• Введите регулярные аудиты. Ежегодные проверки на соответствие требованиям закона — обязательный шаг для минимизации риска штрафов

Обращаем ваше внимание, это именно минимально необходимый перечень. Мы видим в российском праве явную тенденцию к ужесточению ответственности за нарушение законодательства о персональных данных, дальнейшей диверсификации составов административных правонарушений и введению уголовной ответственности за ряд нарушений.

Во избежание возникновения любых рисков операторам персональных данных, как минимум, необходимо удостовериться, что они полностью соблюдают соответствующие положения законодательства, а также убедиться в защищённости данных в используемых ими информационных системах.

P. S.

Для более детальной оценки соответствия инфраструктуры требованиям законодательства можно воспользоваться услугами компаний-аудиторов. Например, Cloud4Y предлагает услуги аудита защищённости систем обработки персональных данных, создание систем защиты ПДн, предоставление заключения о соответствии, проводит анализ уязвимостей информационных систем и веб-приложений. Если вы заинтересованы в организации надёжной защиты ваших систем, наши специалисты готовы помочь с этим вопросом.

Спасибо за внимание, ваш Cloud4Y. Читайте нас здесь или в Telegram‑канале!