Как ИТ-компании выживают в эпоху ужесточения штрафов за персональные данные
Размытость закона — главная боль
Что такое персональные данные — до сих не понятно. Даже страховка сотрудников или оформление корпоративных карт могут неожиданно сделать компанию оператором персональных данных. Из-за неясности критериев компании регистрируются «на всякий случай» — даже если их деятельность формально не подпадает под закон. Единого решения нет, но тренд на «запасной парашют» в виде регистрации усиливается. 300 тыс. руб. — новый штраф, который заставил рынок вздрогнуть.
Участники круглого стола быстро перешли от обсуждения санкций к более болезненной теме: как вообще соответствовать требованиям в текущих реалиях?
Порядка 60% запросов от заказчиков касаются не технических решений, а как пройти проверку Роскомнадзора без переделки всей ИТ-инфраструктуры. Безопасность не может быть дешевой. «Если коммерция экономит на защите данных — пусть считают риски получения штрафов», - сказал один из участников мероприятия.
Как одна компания избежала штрафа
Один из участников круглого стола, сказал что они не регистрировались как оператор 5 лет — работали только с данными сотрудников. Но когда Роскомнадзор запросил проверку, юристы нашли лазейку: доказали, что HR-данные обрабатываются исключительно для трудовых отношений, а это исключение из 152-ФЗ. Значит иногда проблема — в незнании собственных прав.
Кто виноват в утечке?
Самый острый спор разгорелся вокруг критериев «первой утечки» — ключевого понятия для штрафов. Один из спикеров заявил: «Как вообще определить, что утечка „первая“, если данные уже могли „гулять“ в Интернете годами? Роскомнадзор не доказывает вину — он просто находит компромат. А компания должна оправдываться».
Суды же пока не понимают, что такое утечка на техническом уровне. Им приносят кипу документов, а решение часто зависит от того, есть ли судья, который разбирается в ИТ.
Даже если компания не является оператором ПДн, ей придется доказывать это в суде — иначе штраф неизбежен.
Понятно, что у бюджетных учреждений нет оборота — максимум что им грозит штраф 60 тыс. рублей. Но дело не в деньгах, а в уголовной ответственности при повторных нарушениях. Для госструктур это вопрос репутации.
Почему на кибербезопасность всегда не хватает денег?
Проверки — это лотерея
Слова некоторых участников: «Проверки были всегда. Вопрос в том, найдут ли они „нарушение“ или ограничатся предупреждением. Это как русская рулетка». «Плановая проверка — ещё цветочки. Хуже, когда приходят внезапно — например, после „анонимного“ доноса».
Поэтому имеет смысл фиксировать все действия с персональными данными: от согласий сотрудников до журналов обработки. Не помешает провести внутренний аудит до визита РКН — это значительно снизит риски.
Сейчас многие компании ждут судебной практики — особенно решений Таганского суда (главного «разбирателя» дел против Google и Facebook). Следует также готовиться к проверкам: даже если вы не оператор, будьте готовы это доказать. Уголовная ответственность — новый драйвер для compliance в госсекторе. 60 тыс. руб. — максимум штрафа для бюджетников, но их пугает не это, а возможная уголовная статья при повторах.
Главный страх - неопределенность
Законодательное определение персональных данных остаётся размытым, что приводит к перестраховке: некоторые компании регистрируются как операторы «на всякий случай», даже если их деятельность формально не подпадает под регулирование.
Особенно остро вопрос стоит для малого бизнеса: производственные предприятия и интеграторы зачастую не осознают, что работа с корпоративными картами сотрудников или HR-данными может требовать compliance. В госсекторе приоритет отдаётся превентивным мерам, тогда как коммерческие компании часто выбирают тактику «реагирования по факту» из-за высокой стоимости решений.
Отсутствие устоявшейся практики по «первым утечкам»: доказать, что утечка произошла не по вине компании, практически невозможно, так как данные могли десятилетиями циркулировать в открытых источниках.
Суды зачастую не обладают экспертизой для оценки ИТ-аспектов дел. Решения зависят от субъективного восприятия судьёй представленных доказательств.
Госсектор фокусируется на предотвращении уголовной ответственности, рассматривая штрафы как меньшую из угроз. Коммерческие компании требуют «разумного минимума» требований, особенно малый бизнес, для которого стоимость compliance сопоставима с годовым оборотом. Юристы отмечают, что даже бюджетные учреждения (с максимальным штрафом 60 тыс. руб.) начинают активнее заниматься защитой данных из-за рисков репутационных потерь.
В 2025 году критически важным станет формирование судебной практики, которая расставит приоритеты: будут ли суды учитывать реальные возможности бизнеса или ограничатся формальным соблюдением норм.
Динамика дискуссии показала, что даже в условиях жёсткого регулирования диалог между бизнесом и регуляторами возможен — но для снижения рисков компаниям уже сейчас необходимо инвестировать в экспертизу и инфраструктуру.
Полярность регулирования: от бездействия к чрезмерным требованиям
Эксперты выделили две крайности в регулировании защиты данных. Период формального соблюдения (2011-2019 гг.). Тогда были символические штрафы (15-60 тыс. руб.), отсутствие реальных стимулов для внедрения защиты и массовое игнорирование требований.
В настоящее время существует более жесткая модель (2020-2025 гг.). Оборотные штрафы до 500 млн. руб. или до 3% от годового оборота предприятия. Риск уголовной ответственности при технических и организационных сложностях выполнения.
Отсутствие плавного перехода между этими состояниями создало кризис внедрения.
Как компании снижают риски
Участники поделились кейсами построения систем защиты. Вопрос персональной ответственности: три сценария применения.
Сценарий "ИБ-специалист". Ответственность наступает только при наличии письменных докладов руководству и обоснованных запросов на финансирование. Например, специалист три года безуспешно запрашивал средства защиты следовательно — вина руководства.
Сценарий "Топ-менеджмент". Игнорирование повторных предупреждений, отсутствие вопросов по ИБ на советах директоров.
Сценарий "Ответственный за ПДн". Проблема в том, что только 43% компаний официально назначают таких сотрудников. В этом случае наступает автоматическое признание вины при отсутствии назначенного лица.
Кто отвечает за утечки?
Здесь можно выделить три уровня ответственности. Непосредственный исполнитель отвечает, только если в должностных инструкциях четко прописаны обязанности по защите данных. Например, если сотрудник допустил утечку, но не обязан был защищать данные — ответственность переходит выше.
Отвечает назначенный ответственный за ПДн, он становится главным "крайним" при нарушениях, но похоже, только 43% компаний официально назначают таких специалистов.
Юлия Смирнова: Цифровой иммунитет Петербурга. Как город побеждает киберугрозы
Вина наступает для топ-менеджмента при игнорировании повторных предупреждений об рисках и отсутствии вопросов по ИБ на уровне правления. Может быть и особый случай: если утечку организовали конкуренты (выброс данных в сеть), доказать невиновность компании крайне сложно.
"Система ответственности должна быть процессной, а не персональной. Не человек должен отвечать за провал, а процесс — за отсутствие предотвращения этого провала". Вот итоговый консенсус участников мероприятия.
Подходы к распределению ответственности
Участники круглого стола выявили несколько моделей назначения ответственных за защиту персональных данных в российских компаниях:
Модель "ИТ-лапки". Формальный ответственный становится заместитель гендиректора (часто — по HR или безопасности). Часто ИТ-отдел технически обеспечивает защиту, но избегает формальной ответственности. В случае, если базы не закрыли, в облако вынесли, тогда отвечает не ИТ-сотрудник.
Модель "Сквозного контроля". Ответственный назначается из топ-менеджмента (директор по сервису, операционному управлению). Эта модель характерна для интернет-компаний с большими массивами данных. Пример, в продающих компаниях директор по сервису де-факто отвечает за ПДн.
Модель "Юридического камикадзе". Специально назначенный сотрудник без реальных полномочий, например, кадровик стал ответственным, потому что больше некому"
Возникающие противоречия
ИТ vs бизнес. Парадокс: данные хранятся на ИТ-активах, но ответственность несет бизнес-подразделение. Конфликт: айтишники не хотят отвечать за то, что не контролируют на уровне бюджета".
Подрядчики vs операторы. Закон гласит, что окончательная ответственность всегда на операторе данных. Практика: попытки прописать субсидиарную ответственность в контрактах часто неудачны.
Технические специалисты vs процессные меры. Требование закона: разделение ответственности за обработку и техническую защиту. Реальность: вся тяжесть ложится на ответственного за обработку.
Международный опыт
Участник дискуссии обратил внимание на белорусский подход. У них четкое разделение ролей между оператором данных и техническим исполнителем. Имеется возможность реального перераспределения ответственности через контракты. Сформулированы специализированные требования к квалификации ответственных.
Пожалуй, здесь можно порекомендовать компаниям следующее. Для ИТ-подразделений: настаивать на включении вопросов защиты данных в бюджетные приоритеты и фиксировать все ограничения и риски в письменной форме. Для руководства: назначать ответственных с реальными полномочиями, включать защиту ПДн в KPI топ-менеджеров.
Для юристов: разрабатывать контракты с подрядчиками с механизмами субсидиарной ответственности и регулярно актуализировать должностные инструкции.
"Система ответственности за персональные данные в России сегодня напоминает игру в горячую картошку — все стараются перекинуть ответственность друг на друга. Пока компаниям не удастся выстроить сквозные процессы контроля, а регулятору — четкие критерии оценки, эта ситуация будет порождать новые конфликты", — таков итоговый консенсус участников.
Кто отвечает за нарушения?
Критерии ответственности ИБ-специалиста можно сформулировать следующим образом. Если нарушение произошло после согласования мер защиты или если доказана техническая ошибка (например: не отозван доступ у уволившегося сотрудника либо не настроено шифрование по утвержденному регламенту). Причем ответственность наступает только при наличии подписанных документов о принятых мерах.
При отсутствии регламента обработки ПДн отвечает руководитель процесса. При не выделении бюджета на защиту - топ-менеджмент.
"Регулятору все равно, почему вы нарушили — важно, что нарушили". "Не ищите виноватых — выстраивайте систему" — главные итоги полуторачасовой дискуссии.
"Творческие" способы избежать ответственности
Участники подтвердили существование схем обхода. Для этого используются технические уловки, например, добавление "мусорных" полей в базы данных для последующего удаления при проверках. Генерации синтетических данных-приманок. На что один из частников круглого стола добавил: "Если регулятор докажет умысел — штрафы увеличатся в 3 раза".
Смягчающие факторы: недостижимый идеал?
Для избегания оборотных штрафов необходимо, отсутствие предшествующих нарушений, использование только СЗИ от компаний-лицензиатов и трата 0,1% годового оборота компании на кибербезопасность.
Реальность показывает, 70% компаний тратят на всё ИТ менее 0,5% оборота, на безопасность и в среднем выделяется 8-12% ИТ-бюджета. Вендоры радуются новому критерию, но бизнес физически не может его выполнить.
Доказательство фейковых утечек
Алгоритм действий в этом случае должен быть таким. 1) Фиксация всех коммуникаций с хакерами. 2) Аудит логов за указанный период 3) Экспертиза переданных образцов данных 4) Подача встречного заявления в правоохранительные органы.
К сожалению, нет законодательного порядка оспаривания факта утечки и регулятор пока не различает реальные инциденты и схемы конкурентов.
***
Участниками круглого стола стали: Алексей Лукацкий, эксперт по кибербезопасности, модератор, Руслан Ложкин, директор департамента кибербезопасности АКБ «Абсолют банк», Антон Кузнецов, эксперт по цифровой трансформации, Иван Козлов, ГК «Латео», ИТ-директор, Анастасия Гайнетдинова, Security Leader ООО «ВУШ» (Whoosh), Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности».
