С 30 мая в российской практике защиты персональных данных наступает качественно новый этап. Вступают в силу поправки в Кодекс об административных правонарушениях, существенно расширяющие виды ответственности за утечку, неправомерный сбор и оборот персональной информации. Это не только реакция на рост числа инцидентов, но и системный прогресс в понимании информационной безопасности как элемента национального суверенитета.
За последние годы мы с коллегами из Комитета Совета Федерации по конституционному законодательству и государственному строительству системно работали над тем, чтобы защита персональных данных в России соответствовала вызовам цифровой эпохи. Я лично принимал участие в проработке новых правовых механизмов, включая вопрос об обязательной компенсации гражданам в случае утечки их данных. Это действительно стоит на повестке и регулярно обсуждается с целью эффективного противостояния все более изощренным схемам злоумышленников и хакеров.
Сколько будет стоить невнимание
Согласно статистике ГК InfoWatch, в 2024 году количество серьезных утечек персональных данных увеличилось более чем на 30% в сравнении с 2023 годом. Пострадали крупнейшие организации — от коммерческих банков до систем здравоохранения. Причем масштабы отдельных инцидентов измеряются миллионами записей
Отныне компании, допустившие утечку персональных данных, будут оштрафованы не только на конкретную фиксированную сумму. Если раньше штрафы были соразмерны формальным нарушениям, то теперь применяется логика пропорциональности ущербу: до 3% от годовой выручки, но не менее 20 млн рублей. Особенно строго будет оцениваться незаконный оборот данных и сокрытие самого факта утечки. В ряде случаев санкции составят до 500 млн рублей.
Это шаг в сторону формирования реального механизма ответственности, который обязывает инвестировать в защиту данных не по остаточному принципу, а как в приоритетный актив.
Баланс интересов и общая дисциплина
Важно, что изменения затрагивают не только крупные корпорации. Ответственность за соблюдение режима обработки персональных данных распространяется на всех операторов: от школ и муниципалитетов до индивидуальных предпринимателей. И в этом — главный вызов: необходима не только правовая чистота документов, но и системная профилактика, обучение сотрудников, внедрение технических средств защиты, а главное — создание этической культуры обращения с личной информацией.
Реализация профилактических мер требует не только понимания законодательства, но и системной работы по подготовке персонала, созданию инструкций по обработке данных. Без соответствующих кадровых ресурсов и программ обучения эффективное выполнение новых правил может оказаться затруднительным. Поэтому важна синхронная подготовка системы, в том числе повышение квалификации специалистов по информационной безопасности, а также развитие корпоративной культуры ответственности за безопасное обращение с данными.
Сегодня закон дал однозначный сигнал: компромиссов в сфере защиты персональных данных больше не будет. Следующим шагом, вероятно, станет усиление контроля за трансграничной передачей данных, а также совершенствование уголовного законодательства. На повестке — формирование единого правового пространства, в котором интересы граждан, государства и бизнеса сбалансированы.
Переход к новой модели защиты персональных данных — это не просто ответ на угрозы. Это важный элемент технологического суверенитета, внутренней правовой устойчивости и цифровой зрелости России. Бизнесу стоит воспринимать происходящее не как акт давления, а как необходимое условие формирования зрелой цифровой экономики, в которой доверие и стабильность — не декларация, а результат осознанной ответственности.
Ответственность за данные — не только у государства
Как показывает практика, сегодня именно малый и средний бизнес остаются самой уязвимой частью цифрового пространства. Многие компании просто не имеют ресурсов или компетенций для полноценной защиты персональных данных, а между тем риски утечек растут, как и ответственность. Когда происходят инциденты, люди идут не в ИТ-отдел конкретной фирмы — они ждут защиты от государства. От МВД, от ФСБ, от Роскомнадзора. Это справедливо, и государство эту функцию берет на себя. Но очевидно, что работать в этом направлении мы должны вместе.
Считаю, что у крупного бизнеса здесь есть пространство для обдуманной, ответственной позиции.
Возможно, крупные компании, обладая опытом и ресурсами в области кибербезопасности, могли бы предложить малым предприятиям платные услуги по облачному хранению и защите информации.
Это был бы взвешенный, правильный шаг — не просто передать ответственность государству, а стать полноценной частью экосистемы цифровой безопасности. Потому что позиция "пусть утекает у кого угодно, лишь бы не у меня" сегодня уже не работает. Персональные данные — это вопрос национальной безопасности, доверия граждан и нашего общего цифрового будущего.
Если мы хотим действительно защищенное цифровое пространство, нам нужно выстраивать его вместе — с государством, обществом и бизнесом в одной связке.
Отдельно хочу отметить важный, на мой взгляд, факт. Объем утечек персональных данных россиян продолжает расти. В открытом доступе увеличивается количество личной информации граждан: номера телефонов, адреса, подробности покупок, почтовых отправлений. Данные используются преступниками для их продажи, мошеннических схем, кражи денежных средств или имущества. Кроме того, в открытый доступ попадают сведения о здоровье и частной личной жизни, что может нанести и моральный вред.
Ответственность операторов за утечки персональных данных закреплена в КоАП РФ. Однако установление новых штрафов не гарантирует субъектам персональных данных компенсацию причиненного им вреда.
В качестве механизма для возмещения морального и имущественного вреда, причиненного субъектам персональных данных, возможно рассмотреть финансовое обеспечение, которое должен иметь оператор на постоянной основе при осуществлении обработки персональных данных.
Если оператор уверен в своих процессах — он минимально рискует, а если допускает халатность, то должен быть готов компенсировать ущерб. Это будет честно по отношению к гражданам и эффективно с точки зрения профилактики будущих инцидентов.
Комментарии