День защиты персональных данных: законодательное регулирование в РФ

Последние кибератаки против РФ вновь подчеркнули важность обеспечения безопасности персональных данных

Depositphotos
Безопасность персональных данных – вопрос, который так или иначе касается каждого. В современном мире невозможно существовать «в вакууме»: информация о человеке в любом случае будет кем-то сохранена и обработана. И волна кибератак, последовавшая за началом специальной военной операции в Украине, в очередной раз подчеркнула важность данного вопроса.

Изначально закон о защите персональных данных в Росси был принят в 2006 году. С тех пор он неоднократно дополнялся и расширялся – это вызвано как развитием технологий, так и новыми случаями мошенничества с использованием похищенных или «слитых» персональных данных. В частности, в 2011 году законодатели уточнили сферу действия закона и существенно переработали нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
 
Ответственность за несоблюдение закона «О персональных данных» установлена в КоАП.

В 2017 году штрафы за невыполнение тех или иных действий в законе составляли от 10 до 75 тыс. рублей за каждое обнаруженное нарушение. Однако сегодня существует тенденция повышения финансовой ответственности. Этому способствуют изменения, необходимость которых была вызвана многочисленными утечками персональных данных в период СВО.

Так, с момента начала специальной военной операции в результате кибератак в открытом доступе оказалась личная информация 600 млн россиян. Как отмечали эксперты, во многих случаях за взломами стояло не желание заработать, а намерение нанести репутационный и коммерческий ущерб российским компаниям и стране в целом на фоне возрастания международной напряженности.
 
В связи с данной ситуацией в закон было внесено изменение, устанавливающее порядок действий для операторов – теперь в случае возникновения утечек или кибератак они обязаны уведомлять Роскомнадзор о таких инцидентах в течение 24 часов, а также расследовать их в течение 72 часов и отчитаться о результатах.

За нарушение закона в этой части планируется ввести оборотные штрафы в размере до 3% от оборота, если организация не обеспечивает безопасность данных.

Соответствующий законопроект подготовило Минцифры в декабре 2022 года, а уже в январе 2023 года президент РФ Владимир Путин поручил правительству рассмотреть вопрос введения таких штрафов до 1 июля 2023 года, а также усилить ответственность за их незаконный оборот.
 
Стоит отметить, что обновленный закон установил принципы договора с субъектом персональных данных. Указано, что он не должен содержать положения, которые ограничивают права и свободы, устанавливать случаи обработки ПД несовершеннолетних и предусматривать заключение при бездействии – пользователь должен дать явное согласие на сбор и обработку, например поставить галочку в чекбоксе.

Если же человек не хочет раскрывать информацию о себе, то компания не вправе отказать ему в обслуживании.

Помимо этого, любой оператор персональных данных обязан уведомлять Роскомнадзор о начале, изменении и завершении обработки таких данных, а также вступить в специальный единый реестр операторов.  
 
Законодательство РФ в сфере защиты персональных данных постоянно совершенствуется и учитывает как положительные, так и отрицательные примеры из российского и мирового опыта.

При этом штрафы остаются наиболее чувствительным вопросом как для бизнеса, так и для государства. Тем не менее, зарубежная практика показывает, что ответственность за нарушение сохранности персональных данных пользователей может исчисляться десятками миллионов долларов, что говорит о ценности и важности личной информации человека.