Главное новшество — ужесточение наказания за утечку персональных данных. Размер штрафов теперь зависит от количества пострадавших и характера утечки. Например, если из компании «утекли» данные более 100 тысяч человек или 1 миллиона идентификаторов — штраф может составить до 15 миллионов рублей. Ещё дороже обойдётся утечка биометрических данных — до 20 миллионов. При повторных нарушениях возможно наложение оборотных штрафов в размере 1–3% от годовой выручки (или, для банков, от собственных средств). При этом минимальная сумма штрафа в ряде случаев — не менее 20 или 25 миллионов рублей.
Также существенно увеличены штрафы за несвоевременное или неполное уведомление Роскомнадзора о начале обработки данных. Теперь предприниматели обязаны заранее подать соответствующее уведомление. В противном случае — штраф до 300 тысяч рублей. Причём с 30 мая отменяется и 50-процентная скидка за быструю оплату штрафа по этой категории нарушений.
Именно малые компании первыми столкнулись с практическими трудностями исполнения новых требований. У большинства нет штатных юристов и специалистов по информационной безопасности. Но, тем не менее, они формально подпадают под действие закона: клиентская база, e-mail-рассылки, номера телефонов сотрудников — всё это персональные данные, и за их обработку нужно отчитываться.
Особенно остро проблема проявилась на фоне сбоя в работе сайта Роскомнадзора. Накануне вступления закона в силу — 28 и 29 мая — форма подачи уведомления о начале обработки данных на сайте ведомства либо не открывалась вовсе, либо работала с перебоями. По словам представителей бизнеса, многие предприниматели пытались подать уведомление в последний момент, но просто не смогли этого сделать.
«Сайт не выдержал нагрузки, и теперь компании рискуют получить штраф только потому, что не смогли зайти на портал вовремя», — жалуются предприниматели.
При этом Роскомнадзор подтвердил сбои, объяснив их наплывом пользователей: если в обычные дни ведомство получало 500–800 уведомлений, то в последние дни мая — более 150 тысяч в сутки.
Юристы призывают сохранять спокойствие и напоминают, что уведомление можно подать не только онлайн. Допускается отправка по почте на бумажном носителе или через портал «Госуслуги» с использованием квалифицированной электронной подписи. Датой подачи будет считаться именно день отправки, а не момент занесения в реестр. Однако далеко не все малые компании об этом знают или имеют техническую возможность воспользоваться этими каналами.
Есть и небольшой «запас прочности»: если нарушение произошло впервые, согласно статье 4.1.1 КоАП, компания может отделаться предупреждением. Но если после него предприниматель снова не выполнит требования закона — штрафа не избежать.
Юристы обращают внимание, что не все компании обязаны подавать уведомление. Закон делает исключения для случаев, когда данные обрабатываются вручную, используются в рамках госсистем, либо касаются транспортной безопасности. Но подавляющее большинство малых и средних бизнесов — особенно те, кто работает с клиентами, — обязаны это сделать.
Специалисты пока не ожидают массовых проверок. Роскомнадзор физически не сможет проконтролировать каждую из более чем миллиона компаний, уже внесённых в реестр. Однако это не означает, что нарушения останутся без последствий. Особенно рискуют те, кто игнорировал требования раньше и не готов внедрять изменения сейчас.
Эксперты советуют предпринимателям внимательно подойти к вопросу, изучить инструкцию по подаче уведомлений и, при необходимости, воспользоваться альтернативными способами подачи документов. Любая задержка может обойтись дорого — особенно если в компании произойдёт утечка данных.
НЕ НУЖНО, если:
Если сомневаетесь — лучше подать уведомление. За отсутствие — штраф до 300 000 руб.
|
Нарушение |
Штраф |
|
Нет уведомления |
До 300 000 руб. |
|
Утечка данных до 100 000 человек |
До 15 млн руб. |
|
Утечка биометрических данных |
До 20 млн руб. |
|
Повторное нарушение |
1–3% от годовой выручки |
Первое нарушение может закончиться предупреждением, если быстро исправить проблему.