Привет! Сегодня напомним о наиболее важных изменениях в законодательстве, касающихся персональных данных. Некоторые изменения актуальны с марта 2025.
Что изменится?
Изменения в законодательстве направлены на повышение прозрачности и безопасности обработки персональных данных, а также повышения уровня ответственности за нарушения требований к обработке персональных данных.
Основные изменения
Повышенные штрафы за утечки данных
Утечка данных 1−10 тысяч субъектов: штрафы от 3 до 5 млн рублей
Более 100 тысяч субъектов: до 15 млн рублей
Повторные утечки: до 3% годового оборота компании
Жёсткие требования к Единой биометрической системе (ЕБС)
Несанкционированное использование ЕБС обойдётся в штраф от 500 тыс. до 1 млн рублей
Обработка данных без аккредитации: от 1 до 2 млн рублей
Уголовная ответственность за нарушения
Незаконная обработка данных грозит штрафами до 700 тыс. рублей или лишением свободы до 5 лет
Серьёзные утечки с последствиями: до 10 лет лишения свободы
Для большей наглядности мы предлагаем взглянуть на табличку.
На всякий случай напомним, что изменения затрагивают все организации, работающие с персональными данными.
Чтобы соответствовать новым требованиям, важно начать подготовку уже сейчас. Мы рекомендуем проверить вашу готовность к нововведениям и базово пройтись хотя бы по основным пунктам.
Аналитика текущих процессов. Проведите аудит обработки данных, чтобы выявить потенциальные риски утечек и нарушения законодательства.
Инвестируйте в безопасность. Увеличьте бюджет на информационную безопасность. Закон предусматривает смягчение штрафов, если компания тратит не менее 0,1% выручки на ИБ.
Технические и организационные меры. Внедрите системы мониторинга утечек, контроля доступа и защиты данных, включая шифрование и резервное копирование.
Введите регулярные аудиты. Ежегодные проверки на соответствие требованиям закона — обязательный шаг для минимизации риска штрафов
Обращаем ваше внимание, это именно минимально необходимый перечень. Мы видим в российском праве явную тенденцию к ужесточению ответственности за нарушение законодательства о персональных данных, дальнейшей диверсификации составов административных правонарушений и введению уголовной ответственности за ряд нарушений.
Во избежание возникновения любых рисков операторам персональных данных, как минимум, необходимо удостовериться, что они полностью соблюдают соответствующие положения законодательства, а также убедиться в защищённости данных в используемых ими информационных системах.
P. S.
Для более детальной оценки соответствия инфраструктуры требованиям законодательства можно воспользоваться услугами компаний-аудиторов. Например, Cloud4Y предлагает услуги аудита защищённости систем обработки персональных данных, создание систем защиты ПДн, предоставление заключения о соответствии, проводит анализ уязвимостей информационных систем и веб-приложений. Если вы заинтересованы в организации надёжной защиты ваших систем, наши специалисты готовы помочь с этим вопросом.
Спасибо за внимание, ваш Cloud4Y. Читайте нас здесь или в Telegram‑канале!
