Ключевые риски

Утечки баз данных, мошеннические схемы и халатность сотрудников могут привести к репутационным и финансовым потерям. По словам разработчика программы «Магистр права в сфере интеллектуальной собственности и IT» НГУЭУ, доцента кафедры гражданского и предпринимательского права Елены Холмовой, любой бизнес, работающий с клиентскими данными (интернет-магазины, сервисы доставки, медицинские центры, банки, даже небольшие SaaS-стартапы), рискует столкнуться с проблемами.

Среди них:

• Слив баз данных — хакерские атаки, продажа информации сотрудниками, уязвимости в ПО;
• Дропперство — мошенники используют данные компании для обналичивания денег (например, регистрируют фирмы-однодневки на реальные паспорта);
• Фишинг и социальная инженерия — сотрудников обманом вынуждают передать доступ к системам;
• Внутренние угрозы — уволенный IT-специализмент может скопировать базу перед уходом.

Пример: В 2023 году крупный маркетплейс оштрафовали на 500 тыс. рублей после утечки персональных данных 200 тыс. клиентов. Базу слили в даркнет, а мошенники использовали ее для целевого спама и фишинга, — добавила эксперт.

Способы защиты

Есть технические меры: шифрование, двухфакторная аутентификация и др. И есть неочевидные лайфхаки на стыке техники и юриспруденции:

• Разделение доступа внутри компании – даже бухгалтерия не должна видеть полные клиентские базы; но разделение имеет смысл, когда оно осуществлено технически и подкреплено юридически – внутренними документами компании.
• Регулярные проверки защиты на устойчивость – нанимайте этичных хакеров для тестирования защиты (да, закон о «белых хакерах» не приняли, но физически-то они существуют), только не забудьте оформить договор, предусматривающий пределы их деятельности и ответственность за нарушения.
• Автоматическое удаление старых данных – если клиент не активен 3 года, его данные стоит анонимизировать; это должно быть отражено во внутренних документах и осуществлено технически.
• Контроль за дропперами – проверяйте, не регистрируют ли мошенники компании на ваших клиентов (можно мониторить выписки из ЕГРЮЛ).

Нестандартный кейс: Риелторский сервис внедрил систему, где клиенты сами подтверждали запросы на доступ к их данным через SMS. Это снизило риск внутренних злоупотреблений на 70%.

Санкции

• Штрафы — с 30 мая 2025 года значительно увеличены размеры штрафов за нарушение законодательства в области персональных данных. Обновления опираются на положения Федерального закона № 152-ФЗ и КоАП РФ. Так, за неправомерную обработку персональных данных (ПДн) физлицо уплатит штраф до 15 тысяч рублей, юрлицо — до 300 тысяч рублей. За неуведомление Роскомнадзора (РНК) о намерении обрабатывать ПДн — до 300 тысяч рублей. Обработка данных без согласия гражданина, к которому они относятся, повлечет штраф для физлица до 15 тысяч рублей, для юрлица — до 700 тысяч рублей. Неуведомление об утечке ПДн — влечет штраф до 3 млн рублей, а утечка большого количества ПДн — до 15 млн рублей. При утечке биометрических данных штраф увеличивается до 20 млн рублей, а при повторной утечке штраф может составить сумму до 500 млн рублей.
• Блокировка сайта (если Роскомнадзор обнаружит незаконный сбор ПДн).
• Уголовная ответственность (ст. 137 УК РФ) — если утечка привела к крупному ущербу.

Реальный случай: В 2024 году онлайн-школу оштрафовали на 2 млн рублей за хранение паролей в открытом виде. После проверки выяснилось, что базу взломали через уязвимость в CRM. Сегодня штраф был бы в 10 раз больше.

Прогнозы на будущее

Елена Холмова уверена, что требования к защите данных для всех категорий бизнеса усилятся.

• Цифровые профили граждан – Единый реестр ПДн может ужесточить правила хранения.
• Дальнейшее повышение штрафов за нарушения в сфере персональных данных.
• Введение обязательной сертификации систем защиты для некоторых отраслей.
• Расширение перечня ПДн, подлежащих особой защите.
• Автоматические штрафы – вероятно, Роскомнадзор начнет применять ИИ для поиска нарушителей.

Что делать прямо сейчас?

По словам Елены Холмовой, защита персональных данных — это не просто требование закона, а необходимое условие успешного ведения бизнеса в современном мире.

Для того, чтобы избежать проблем она рекомендует:

• Провести аудит хранения ПДн;
• Составить все необходимые документы, начиная с Политики безопасности;
• Внедрить современные средства защиты информации;
• Ограничить доступ сотрудников к данным;
• Внедрить систему мониторинга утечек.

Ранее редакция сообщала, что штраф за неподачу уведомления об обработке персональных данных возрастет.