Минцифры: штрафы за утечку могут пойти на компенсацию пострадавшим

Олеся Афанасьева 13 Июля 2022 - 12:06

Общее

Соответствие требованиям регуляторов

Утечки информации

Умышленные утечки информации

Кража данных

Случайные утечки

Соответствие законодательству РФ

...

Минцифры: штрафы за утечку могут пойти на компенсацию пострадавшим

Ведомство настаивает на оборотных штрафах за потерю ПДн. Их, правда, могут накладывать, если информация из компании “утекла” не в первый раз. Вырученные деньги предлагают раздавать пострадавшим.

Минцифры планирует создать фонд, который будет выплачивать компенсацию гражданам, чьи данные были скомпрометированы. Об итогах переговоров с бизнесом накануне рассказали в пресс-службе ведомства. Сама встреча прошла еще до выходных, мы писали об этом.

“Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с “Агентством по страхованию вкладов”, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев”, — говорится в сообщении Минцифры.

Ведомство настаивает на введение оборотных штрафов. Их планирую “включать” со второго раза. Но и первая “ваша” утечка не будет бесплатной:

“За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, компрометацию которых допустила компания”, — говорят в министерстве.

Из других принципиальных моментов, которые пропишут в законе:

Объект утечки персональных данных и механизм установления вины (реальная ли эта база или мошенники склеили “кусочки” из файлов в открытом доступе);
Соразмерность штрафов объемам и критичности персональных данных;
Двухэтапность штрафов: фиксированный на первый раз и оборотный — за рецидив.

В Минцифре хотят ввести понятия “смягчающие” и “отягчающие” обстоятельства: прикладывала ли компания максимум усилий к защите информации или скрывала факт утечки.

Бизнес сможет аккредитоваться по критериям информационной безопасности. Процедура будет добровольной. Речь может идти о страховании профессиональной ответственности.

“Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство”, — говорят в Минцифре.

Общественный запрос на высокие штрафы вырос после крупных утечек из Delivery Club и “Яндекс.Еды”. Последнюю тогда оштрафовали на 60 000 рублей.

В мае Минцифры согласовало законопроект о штрафах за потерю данных. Он предполагает 1% от оборота за сам факт утечки и 3%, если компания скроет киберинцидент. Теперь для доработки решили позвать представителей индустрии.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 30 Апреля 2026 - 09:09

Соответствие законодательству РФ Общее Защита персональных данных Соответствие требованиям регуляторов

Роскомнадзор начал массовые проверки сайтов на соответствие 152-ФЗ

Роскомнадзор начал массово проверять сайты российских организаций на соответствие требованиям законодательства о защите персональных данных. Для этого регулятор использует специального бота, который автоматически ищет возможные нарушения. Судя по предписаниям, такие проверки позволяют выявлять больше несоответствий, чем прежний ручной контроль.

Юрист Алексей Башук в своём блоге на Хабре связывает резкую активизацию регулятора с изменениями в законодательстве, которые вступили в силу осенью 2025 года.

Если ещё в ноябре 2025 года такие проверки были единичными, то теперь Роскомнадзор разработал специального бота для автоматизированного сбора данных о нарушениях. По словам эксперта, он работает постоянно.

Если бот выявляет возможные несоответствия, материалы передают сотруднику Роскомнадзора. Тот проверяет сайт уже вручную и при подтверждении нарушений выдаёт предписание. На их устранение организации дают всего 10 дней.

При этом выросли и штрафы. Как напоминает эксперт, неуведомление регулятора о сборе персональных данных или их обработка без согласия пользователя могут обернуться штрафом от 100 тыс. до 300 тыс. рублей.

Алексей Башук проанализировал предписания Роскомнадзора, вынесенные по итогам таких проверок. Самыми частыми оказались нарушения, связанные с получением согласий на обработку персональных данных.

К нарушениям относят, например, простое размещение ссылок на документы без подтверждения ознакомления пользователя, а также предустановленные галочки согласия. При этом если пользователь должен поставить галочку самостоятельно, такой порядок регулятора уже устраивает.

Роскомнадзор также сверяет компании с реестром операторов персональных данных. Если организация обрабатывает персональные данные, но отсутствует в реестре, регулятор рассматривает это как неуведомление, то есть как нарушение. Кроме того, проверяется содержание обязательных документов, где также часто находят ошибки.

Отдельная проблема — веб-аналитика. Владельцы сайтов нередко забывают, что её использование считается сбором персональных данных, о котором нужно предупреждать пользователей. А использование сервисов Google может трактоваться как передача персональных данных в недружественную страну.

Распространены и нарушения, связанные с публикацией фотографий сотрудников. Если на сайте нет подтверждения согласия на размещение таких материалов и запрета для третьих лиц использовать эти данные, Роскомнадзор также может счесть это нарушением.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!