Изменения в законе о персональных данных с мая 2025 года: как малому бизнесу подготовиться и избежать больших штрафов

Какие данные собирает бизнес

Итак, персональные данные — это любые сведения, которые прямо либо косвенно могут идентифицировать человека. Это не обязательно полное ФИО и паспортные данные.

К персональным данным могут также относиться номер телефона, адрес электронной почты, история заказов, фотография, стаж, опыт работы, состояние здоровья, биометрия, но это не исчерпывающий перечень Так, номер телефона сам по себе вряд ли позволит идентифицировать человека, а вот номер телефона вместе с фамилией его владельца — это уже точно можно считать персональной информацией.

Любой бизнес обрабатывает данные своих работников, соискателей, уволенных работников, их близких родственников, информацию о контрагентах и их представителях, сведения о гостях офиса (для оформления пропусков и в рамках видеонаблюдения), данные посетителей сайта, в том числе cookie-файлы, которые анализируют поведение пользователя, сведения из форм обратной связи. Причем даже малый бизнес обрабатывает специальные категории данных — сведения о состоянии здоровья. Соискатели в анкетах и работники указывают информацию о наличии инвалидности, водители должны проходить медосмотры. Поэтому фактически все новые правила работы с данными распространяются на малый и средний бизнес.

Зона высокого риска

Утечки данных в малом и среднем бизнесе могут привести к серьезным репутационным и финансовым потерям. По данным аналитиков Kaspersky Digital Footprint Intelligence, только в первом квартале 2024 года от представителей малого и среднего бизнеса утекло 47 млн записей данных. Это в четыре раза больше, чем за аналогичный период годом ранее. При этом 61% утечек появлялись на теневых площадках в течение первого месяца после атаки на компанию.

Эти оценки подтверждает исследование ГК InfoWatch: в первой половине 2024 года доля утечек среди ИП и малых организаций в России выросла вдвое. Наибольший рост утечек исследователи обнаружили в спортивных организациях (рост на 200%), медиа (на 157%) и некоммерческих организациях (на 150%). Почти 98% всех зафиксированных утечек информации пришлись на умышленные инциденты. Персональные данные при этом в общей массе утечек составили 76,1%.

В 2023 году, по оценке аналитиков компании «СерчИнформ», 71% малых и средних команд сталкивались с попытками слива информации. В большинстве случаев инсайдеры пытались передать вовне финансовую информацию (64%), техническую документацию (50%) и персональные данные клиентов (47%).

В числе основных причин уязвимости малого и среднего бизнеса к утечкам аналитики единогласно называют недостаточную защищенность, то есть компании этой категории часто не обладают достаточными знаниями и ресурсами для полноценной защиты от киберугроз.

И вторая главная проблема — отсутствует регулярный юридический аудит порядка хранения и обработки данных.

Третий момент, который стоит всегда учитывать, — сотрудничество с подрядчиками или партнерами может стать каналом для утечки данных или внедрения вредоносного ПО.

Артем Евсеев из юридической компании ЭБР, советник практики по интеллектуальной собственности, в объясняет, какой может быть ответственность для бизнеса за утечки персональных данных и как снизить риски нарушений:

Штрафовать за утечку могут по-разному. Это зависит от объема утечки и от того, какие сведения утекли. Например, утечка «обычных» персональных данных (ФИО, паспортные данные, телефон, email) будет наказываться штрафом от 3 до 5 млн руб., если утекли сведения от 1 тыс. человек либо от 10 тыс. идентификаторов. Идентификатор — это фрагмент информации, который сам по себе не позволяет определить человека, но вместе с дополнительными фрагментами может это сделать. Так называемый оборотный штраф (от 1% до 3% от выручки компании за год) может быть начислен лишь за повторную утечку.

Если же в сеть попали данные менее 1 тыс. человек/ менее 10 тыс. идентификаторов, миллионный штраф не назначат.

Однако совершенно другая ситуация будет, если утекут специальные категории данных — биометрия, сведения о здоровье. Там ответственность в виде штрафов от 10 до 20 млн руб. наступит даже за минимальную утечку. Причем каждая компания вне зависимости от размера обрабатывает специальные данные — сведения о здоровье своих работников (инвалидность, результаты медосмотра водителей).

Как минимизировать риск нарушений

Чтобы не платить многомиллионные штрафы, нужно уже сейчас сделать чекап компании на предмет соблюдения требований закона. Поможет и внутренняя проверка, но эффективнее привлекать внешних юристов-экспертов, которые специализируются на защите персональных данных. Они смогут провести полноценный аудит компании. По его результатам можно оперативно устранить выявленные нарушения требований закона: разработать новые политики, утвердить формы согласия на обработку данных, адаптировать работу сайта и подать уведомление в Роскомнадзор.

С учетом того, что до введения новых штрафов еще есть немного времени, бизнес может привести свои процессы в соответствие с требованиями законодательства.

1. Серьезно подойдите к оформлению локальных актов и согласия на обработку данных

У любой компании, даже небольшой, должно быть утвержденное положение об обработке данных, исключение — ИП и самозанятые, для которых это требование не обязательно.

Кроме того, любой бизнес должен подписать со своими работниками согласие на обработку персональной информации. Причем если вы постоянно сотрудничаете с фрилансерами и есть вероятность, что такие отношения могут счесть трудовыми, то подпишите аналогичное согласие и с сотрудниками на гражданско-правовом договоре.

С 2022 года по-новому нужно формулировать условия локальных актов и форм согласия. Для каждой отдельной цели теперь требуется указывать исчерпывающий перечень сведений, который обрабатывается, условия и сроки такой обработки. Поэтому указывать все цели вперемешку через запятую уже не получится, это будет считаться нарушением.

Более того, цели должны быть сформулированы конкретно. Если вы в качестве цели заявите «соблюдение обязательств работодателя перед работником», то Роскомнадзор, скорее всего, признает это нарушением.

Если компания не получила отл работника согласие на обработку его данных либо согласие не конкретное, за такие нарушения Роскомнадзор может начислить штраф до 700 тыс. руб., причем он может начислить один штраф за все выявленные нарушения, а может за каждое нарушение по отдельности. Например, с 10 работниками не было подписано согласие на обработку их данных. Сейчас нет единого подхода, как считать штраф в такой ситуации: это может быть как 700 тыс. руб., так и 7 млн руб.

Если компания в течение года допустит нарушение во второй раз, придется заплатить уже до 1,5 млн руб.

Именно такие нарушения и увеличение штрафов — главная опасность для малого и среднего бизнеса, где не обрабатывается большой объем сведений.

2. Проверьте, как работают ваши онлайн-ресурсы

Первый шаг к проведению полномасштабной проверки у Роскомнадзора — это выявление нарушений в интернет-ресурсах компании. Например, на каждой странице сайта должна быть гиперссылка на политику конфиденциальности. Это документ, который описывает, какая информация собирается на сайте, для каких целей. Если не разместить гиперссылку, придется заплатить штраф до 60 тыс. руб.

Кроме того, если у вас есть форма обратной связи или личный кабинет, обязательно сделайте чек-бокс, где пользователь поставит галочку, согласившись на обработку его персональной информации.

В противном случае это может привести к штрафу до 300 тыс. руб. за первое нарушение и до 500 тыс. руб.й за повторное.

Также изучите, какие инструменты подключены к вашему сайту. Как правило, это метрические алгоритмы, они анализируют статистику посещения сайта и поведение пользователей на нем. Если вы используете Google Analytics или другие иностранные сервисы, это может быть проблемой, потому что это трансграничная передача данных в государства, которые не обеспечивают защиту персональных данных в соответствии с российским законодательством (в их числе, например, США). Поэтому такие программы стоит просто отключить. В противном случае может быть наложен штраф до 700 тыс. руб., а за повторное нарушение — до 1,5 млн руб.