Негативные последствия утечек персональных данных граждан для бизнеса хорошо известны: это потеря репутации, снижение инвестиционной привлекательности и серьезные штрафы, которые в последнее время значительно выросли. С утечкой сталкивается бизнес любого масштаба, а особенно операторы мобильной связи, банки и страховые компании. По данным Роскомнадзора, только в первом полугодии 2025 года зарегистрировано 35 утечек, в результате которых в сеть попали 39 млн записей о пользователях. И это только официально зарегистрированные случаи.
Что такое персональные данные?
В соответствии со ст. 3 ФЗ «О персональных данных», персональные данные – это любые сведения, прямо или косвенно относящиеся к определенному или определяемому физическому лицу, именуемому субъектом персональных данных.
Законодатель выделяет следующие группы персданных:
-
Общие. Сюда относятся базовые сведения о человеке: его ФИО, паспортные данные, адрес регистрации, информация о месте работы, адрес электронной почты, ИНН, СНИЛС и т.д.
-
Специальные. В эту категорию включается информация о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
-
Биометрические. К этой группе относятся данные, характеризующие биологические и физиологические особенности человека, например, отпечатки пальцев, изображения лица, радужная оболочка глаз, рост, вес, ДНК, голос.
-
Иные. В указанную категорию включаются данные, которые нельзя отнести ни к одной из вышеназванных групп (например, сведения о принадлежности лица к определенной социальной группе).
Однако при решении вопроса об отнесении тех или иных сведений к персданным необходимо учесть массу важных моментов. Например, Роскомнадзор разъяснил, что биометрические данные будут являться персданными, если они используются оператором для идентификации лица (например, при входе на охраняемую территорию, загрузке банковского приложения). Если, к примеру, сканирование паспорта сотрудниками банка осуществляется для предоставления услуг, но не в целях идентификации, то данные изображения не будут относиться к персданным.
Роскомнадзор указывает, что одни и те же материалы в разных ситуациях могут как относиться к персданным, так и не являться ими. Например, хранящиеся в медкартах флюорографические и рентгеновские снимки не являются персональными данными, поскольку они не используются для идентификации лица медицинской организацией. Но если эти снимки нужны правоохранительным органам для установления личности их обладателя, то указанные материалы становятся персональными данными.
По общему правилу, обработка персданных осуществляется с согласия человека. Но в некоторых случаях такое согласие не требуется (например, при исполнении госорганами своих полномочий).
Что делать, если произошла утечка персональных данных?
Как отмечал ранее начальник Управления по защите прав субъектов персональных данных Роскомнадзора Юрий Кантемиров, утечки персданных часто связаны с привлечением сторонних организаций для оказания услуг техподдержки. И это утверждение подтверждается практикой: так, в начале 2025 года стало известно об утечке данных у «Роскомнадзора». Скомпрометированными оказались 154 тысячи адресов электронной почты и 101 тысяча телефонных номеров. Сама компания уверена, что утечка произошла из инфраструктуры подрядчика.
К другим причинам утечки относятся недостаточность средств защиты, низкое качество обучения персонала, работающего с персональными данными, а также атаки злоумышленников.
Однако какие бы причины ни приводили к раскрытию персональных данных, любой компании необходимо знать, как действовать в подобных ситуациях. П. 3.1 ст. 21 ФЗ «О персональных данных» предписывает совершить следующие действия:
-
Уведомление Роскомнадзора в течение 24 часов о произошедшем инциденте, а также о:
-
причинах, повлекших нарушение прав субъектов персданных;
-
предполагаемом вреде, причиненном гражданам;
-
предпринятых мерах по устранению последствий инцидента;
-
лице, уполномоченном взаимодействовать с ведомством по вопросам, связанным с инцидентом.
-
Предоставление Роскомнадзору в течение 72 часов сведений о результатах внутреннего расследования инцидента, а также о лицах, из-за которых произошла данная ситуация.
Уведомления можно направить в электронном формате или на бумажном носителе.
Если оператор относится к субъектам критической информационной инфраструктуры (организации, работающие в банковской сфере, в области энергетики, операторы связи и т.д.), необходимо подать уведомление через систему «ГосСОПКА» в течение 24 часов. Об этом сказано в Приказе ФСБ России от 13 февраля 2023 г. № 77. Остальные компании уведомляют об инциденте только Роскомнадзор.
Сокрытие факта утечки персданных или несвоевременное уведомление Роскомнадзора влечет административную ответственность по ч. 11 ст. 13.11 КоАП. Для компаний размер штрафа составляет 1-3 млн рублей. За компрометацию данных компания может быть также оштрафована, причем размер штрафа будет зависеть от масштаба инцидента. Так, если в сеть утекли данные более 100 тысяч граждан или более 1 млн идентификаторов, штраф составит от 10 до 15 млн рублей. А при повторном нарушении предусмотрены оборотные штрафы в размере 1-3 % совокупной годовой выручки (минимум 20 и максимум 500 млн рублей). Повышенная ответственность установлена за утечку специальной категории персданных и биометрии.
Впрочем, в Госдуме считают данные санкции недостаточными. В частности, депутат Сергей Миронов предложил председателю Правительства РФ Михаилу Мишустину ввести оборотные штрафы за утечку, случившуюся впервые. При этом минимальная планка штрафов должна быть установлена на уровне 25 млн рублей.
Таким образом, компаниям, работающим с персональными данными, необходимо очень внимательно подходить к вопросу их сохранности и безопасности, а также четко соблюдать алгоритм действий в случае утечки конфиденциальной информации. В ином случае крупные штрафы практически неизбежны.