Сколько теперь стоит нарушить закон «О защите персональных данных», и почему это невыгодно

Новые размеры штрафов вступят в силу с 25 марта. Теперь их размер сопоставим со стоимостью реализации проекта по приведению ИБ-инфраструктуры в соответствие с требованиями законодательства, особенно это касается небольших организаций и ИП. А это значит, что многие из них всерьез задумаются о «выходе из тени».

Защитить или закрыться

Согласно тексту поправок, «обработка данных в случаях, не предусмотренных законодательством», повлечет штрафы для юридических лиц — 60 тыс. до 100 тыс. рублей. В действующей редакции КоАП эти суммы вдвое меньше. За повторное нарушение этих же статей размер штрафов для индивидуальных предпринимателей окажется от 50 тыс. до 100 тыс. рублей, для юридических лиц - от 100 тыс. до 300 тыс. рублей. Предлагается также увеличить вдвое штрафы за обработку персональных данных без письменного согласия владельца. Для юридических лиц они составят от 30 тыс. до 150 тыс. рублей.

Штрафы пока касаются только «организационной» части закона, техническая часть защиты данных пока не затронута, но не сомневаюсь, что ФСТЭК в скором времени обратит внимание и на это, разработав конкретные рекомендации по хранению, как это было с КИИ.

По статистике Softline, сегодня лидерами по числу проектов в области аудита персональных данных являются федеральные ритейлеры и другие компании, имеющие большой штат сотрудников. Они понимают, что достаточно всего один раз не получить согласие на обработку данных любого сотрудника, и можно получить штраф до 150 тысяч рублей. В регионах проверки регулятора пока редкость и касаются скорее крупного бизнеса. Поэтому до недавнего времени большинство организаций сегмента СМБ предпочитали откладывать модернизацию ИБ-инфраструктуры. Но ужесточение требований, как правило, подразумевает и более строгий контроль исполнения. Отмечу, что, в отличие от Европы с ее стандартом GDPR, в РФ нет дифференциации штрафов в зависимости от оборота средств. То есть, если небольшая организация нарушит сразу несколько статей в области защиты персональных данных, есть риск получить штраф на пару сотен тысяч, а после ждать, когда представители власти вернутся проверить, исправили ли вы недочеты. Для малого бизнеса такая ошибка вполне может оказаться фатальной.

При этом, для компании среднего размера стоимость проекта по приведению ИБ-инфраструктуры в соответствие с требованиями 152-ФЗ как правило не превышает миллиона, а ИП может уложиться и в 50-100 тысяч. И, даже на фоне неизбежного повышения спроса на услуги аудита по защите персональных данных, резкие скачки цен на них вряд ли возможны. Рынок аудиторов сегодня насыщен, и конкуренция между ними очень высока.

Как строится проект

В первую очередь необходимо определить те информационные системы и процессы в вашей организации где обрабатываются персональные данные. Делается это методом прямого опроса всех отделов и подразделений, которые работают с информацией. После нужно понять, какую именно информацию обрабатывают в этих информационных системах, и как она относится к персональным данным. И наконец, необходимо провести категорирование (определить, какая категория ПнД обрабатывается в той или иной системе) и разработать правовое обоснование. После этого вы можете составить необходимый набор документов, определяющих и регламентирующих обработку персональных данных.

Следующий документ, который должен быть в организации — модель угроз, разработанная в соответствии с рекомендациями ФСТЭК. И наконец, когда вы окончательно утвердили список категорий персональных данных и обозначили актуальные векторы угроз, можно приступать к проектированию технической части и выбору средств защиты информации.

Провести всю вышеописанную работу можно как самостоятельно (при наличии в штате ИБ-специалистов с достаточным уровнем компетенций), так и с привлечением сервисного провайдера. Опыт заказчиков Softline показывает, что, о втором случае проект отнимает куда меньше времени и сил.