Артем Евсеев, советник практики интеллектуальной собственности юридической компании ЭБР: Формальные фразы в договорах о защите персональных данных больше не работают

30 мая 2025 года в России вступили в силу законы, усиливающие ответственность за утечку и неправомерное использование персональных данных. В интервью для Cyber Media Артем Евсеев, советник практики интеллектуальной собственности юридической компании ЭБР, подробно рассказывает, какие компании теперь под прицелом закона, как изменятся подходы к защите ПДн, какие риски и «серые зоны» возникают при применении новых норм, а также что бизнесу и ИБ-специалистам нужно делать уже сегодня, чтобы избежать серьезных финансовых и репутационных потерь.

Cyber Media: В чем суть нового закона об оборотных штрафах за утечку ПДн? Какие компании он затрагивает, и в чем принципиальное отличие новых штрафов от действующих ранее?

Артем Евсеев: С 30 мая 2025 года вступили в силу повышенные штрафы за утечки персональных данных. Раньше максимальный штраф за утечку составлял 300 тысяч рублей, вне зависимости от объема данных. Теперь, после внесения изменений в КоАП и закон «О персональных данных», за первую утечку компания может получить штраф до 20 млн рублей. Чем больше данных утекло и чем более они «чувствительные», тем выше ответственность.

Оборотные штрафы предусмотрены только за повторную утечку. Но и за первую утечку теперь придется заплатить как минимум несколько миллионов рублей.

При этом выросли и штрафы за уже существовавшие нарушения. Эта тенденция началась еще в конце 2023 года. Например, если работодатель забыл подписать с сотрудником согласие на обработку его персональных данных или использовал неверную форму, штраф за такое нарушение может достигать 700 тысяч рублей, а за повторное — до 1,5 миллиона рублей.

На первый взгляд может показаться, что такие штрафы несопоставимы с оборотными штрафами за утечки, но это не совсем так. Например, если согласие не оформлено у 10 сотрудников — возникает вопрос: это одно нарушение или десять? Соответственно, возможный штраф — 700 000 или 7 млн рублей. На практике единого подхода к таким случаям пока нет.

Это связано, в том числе с тем, что с 2020 года в России действовал мораторий на проверки Роскомнадзора. С января 2025 года его частично сняли, и проверки снова проводятся.

Таким образом, самая большая опасность новых правил заключается даже не столько в оборотных штрафах, сколько в риске накопления множества «мелких» нарушений: отсутствие согласия, ошибки в локальных актах и т. д. При массовом характере это может привести к значительным санкциям.

Вывод: необходимо обеспечить законную и корректную работу с персональными данными, включая все формальности и детали.

Cyber Media: Как введение оборотных штрафов повлияет на подход компаний к управлению безопасностью ПДн? Можно ли ожидать пересмотра приоритетов в корпоративной ИБ-стратегии?

Артем Евсеев: Введение оборотных штрафов — это способ законодателя привлечь внимание бизнеса к правильной и ответственной работе с персональными данными россиян. Новый подход уже сейчас влияет на корпоративные приоритеты в области информационной безопасности.

Компании, стремящиеся минимизировать риски, должны начать с аудита персональных данных. Это не формальная проверка, а полноценное изучение информационных процессов: где собираются данные, кому передаются, как хранятся и обрабатываются. Многие нарушения выявляются не в документах, а в практике — например, маркетологи используют Google Формы, что ведет к незаконной трансграничной передаче, или кадровики хранят личные дела сотрудников в открытом доступе. Поэтому аудит должен охватывать как юридические аспекты, так и техническую и организационную стороны. Его лучше поручить специалистам — внешним консультантам или опытным штатным сотрудникам.

Следующий шаг — адаптация процессов по результатам аудита. Качественный аудит дает не просто список нарушений, а конкретные рекомендации по устранению проблем. Например, нужно заключить соглашения об обработке ПД внутри группы компаний, прекратить сбор определенных категорий данных, например, биометрии или сведений о судимости, перейти на российские облачные сервисы, обновить формы регистрации, сократить сроки хранения видеозаписей. Все это направлено на достижение реального соответствия требованиям закона.

После приведения процессов в порядок необходимо оформить это документально — разработать и внедрить внутренние нормативные акты: политику обработки персональных данных, положения, регламенты, формы согласий. Эти документы должны быть конкретными, отражать, какие данные и для каких целей обрабатываются, на каком основании, в какие сроки и с какими мерами защиты. Простой копипаст из закона уже не работает: Роскомнадзор хочет видеть реальную картину, а не формальные отписки. К тому же наличие качественно оформленного пакета документов поможет не только при проверках, но и в случае инцидента, например, утечки, может стать аргументом для снижения штрафа.

Таким образом, оборотные штрафы побуждают бизнес выстраивать системный и детализированный подход к работе с персональными данными, включая как практические изменения в процессах, так и оформление всего в корректной юридической форме.

Cyber Media: Какие риски и «серые зоны» могут возникнуть при правоприменении закона, особенно в части оценки объема утечки и трактовки «надлежащих мер защиты»?

Артем Евсеев: Да, изменения в законодательстве действительно порождают множество вопросов, особенно в части правоприменения. Некоторые ключевые аспекты остаются неясными и могут повлечь риски и правовые споры.

Первый вопрос: с какого момента начинают исчисляться 24 часа, отведенные на уведомление Роскомнадзора о произошедшей утечке персональных данных. Закон формулирует срок очень жестко — не один рабочий день, а именно 24 часа. Причем за несвоевременное уведомление или его отсутствие предусмотрен штраф до 3 млн рублей. Это также автоматически привлекает повышенное внимание регулятора. Однако четкой позиции, как именно считать этот срок, пока нет. На практике Роскомнадзор, как правило, начинает отсчет с момента, когда сам направляет запрос компании с просьбой подтвердить или опровергнуть факт утечки. Если компания не ответит в течение суток, это уже может повлечь наложение штрафа.

Второй серьезный вопрос касается оценки объема утечки. От этого напрямую зависит размер штрафа, но четкие критерии объема не всегда очевидны. Когда известен список пострадавших — например, 5 000 человек, у которых утекли ФИО и телефоны — ситуация понятна. Но часто в сеть попадают лишь фрагменты информации: обрезки имен, последние цифры карты и т. п. Отдельно эти сведения не являются персональными данными, потому что не позволяют напрямую идентифицировать человека. Но в совокупности с другими слитыми данными — особенно из прошлых утечек — они могут представлять серьезную угрозу, так как могут быть скомбинированы и использоваться для идентификации личности.

Именно поэтому в законе появилась категория «идентификатор» — уникальное обозначение сведений о человеке в информационной системе, связанное с этим человеком, но еще не являющееся персональными данными. Скорее всего, регулятор будет считать объем утечки не только по числу полноценных записей, но и по количеству таких идентификаторов — фрагментов информации, потенциально связанных с конкретными лицами.

Третий риск связан с расчетом самого оборотного штрафа. Если ранее компании штрафовали по фиксированной шкале, то теперь размер может зависеть от общей выручки. Причем важен именно объем выручки, а не прибыль. Даже если компания убыточна, но имеет обороты, она все равно попадет под высокие штрафы. Минимальная планка — 20 млн рублей. Есть определенные послабления для ИТ-компаний: выручка от лицензирования ПО не включается в расчет, потому что не относится к реализации товаров, работ или услуг. Благодаря этому оборотные штрафы для ИТ-сектора будут ниже по сравнению с другими отраслями.

Cyber Media: Как теперь выстраивать отношения с подрядчиками и сервисами, обрабатывающими ПДн? Насколько реально переложить часть ответственности на них по договору?

Артем Евсеев: Обычные формальные фразы в договорах о защите персональных данных теперь не работают. Это похоже на ситуацию с форс-мажором во время COVID-19 — тогда тоже стало очевидно, что простых оговорок недостаточно.

Если вы передаете персональные данные подрядчику или сервису, теперь нужно заключать отдельное соглашение или приложение к основному договору. В этом документе нужно четко указать, какие именно данные передаются, для каких конкретных целей, и какие сведения нужны для достижения каждой из этих целей. Причем до передачи данных необходимо получить согласие человека на такую передачу.

Если данные передаются другой организации для ваших нужд, например, аутсорсинговой бухгалтерии или кадровому агентству, то ответственность перед субъектом данных несете вы. Даже если вы в договоре прописали, что подрядчик несет ответственность за нарушение, регулятор все равно придет к вам. А уже после этого вы сможете пытаться возместить ущерб за счет контрагента.

Cyber Media: Какие процессы и инструменты нужно внедрить уже сейчас, чтобы подготовиться? Можно ли говорить о необходимости усиленной автоматизации и интеграции процессов мониторинга, реагирования и отчетности?

Артем Евсеев: Первым делом компаниям нужно отказаться от иностранных сервисов и перевести инфраструктуру на отечественные аналоги — это приоритетная задача для ИТ-службы.

Следующий шаг — внедрение сертифицированных средств защиты информации. Такие средства должны быть одобрены ФСТЭК, и их перечень можно найти на официальном сайте ведомства.

Если говорить проще, то для большинства компаний будет достаточно «коробочных» решений — антивирусов, файерволов и систем, которые уведомляют о компьютерных инцидентах. Этого хватит для базовой защиты. А вот более крупным организациям придется внедрять полноценные ИБ-решения, включающие расширенный функционал и возможность автоматизации процессов мониторинга, реагирования и отчетности.

Cyber Media: Как в случае инцидента доказать, что компания приняла все разумные меры защиты? Что должно быть в документах, чтобы суд или Роскомнадзор это признали?

Артем Евсеев: Чтобы доказать, что компания приняла все разумные меры защиты, важно занять проактивную позицию. Само по себе уведомление Роскомнадзора об утечке — это только первый шаг. Не стоит на нем останавливаться.

Вместе с уведомлением следует сразу приложить все локальные документы, регулирующие работу с персональными данными и информационную безопасность. Это покажет, что компания заранее позаботилась о защите и соблюдала требования законодательства.

Хорошим шагом также будет подать заявление о совершении преступления по статье 272.1 УК РФ. Это сигнал для регулятора, что:

• утечка произошла не по вине компании;
• компания рассматривает себя как потерпевшую сторону и активно устраняет последствия.

Такой подход может снизить вероятность выездной проверки и уменьшить размер возможного штрафа, даже если административная ответственность все же будет применена.

Cyber Media: Как, по вашему мнению, будет развиваться законодательная и регуляторная практика в ближайшие 1-2 года? Какие тенденции стоит учитывать бизнесу и ИБ-службам, чтобы оставаться в правовом и безопасном поле?

Артем Евсеев: В ближайшие 1-2 года можно ожидать некоторую турбулентность в судебной практике, так как регуляторы и суды будут только формировать свои подходы к новым нормам. Кроме того, дела об административных правонарушениях по этой тематике, как правило, будут рассматриваться мировыми судьями, которые не обладают специальной экспертизой в таких вопросах.

В таких условиях рекомендуется придерживаться простого правила: «береженого Бог бережет». Лучше перестраховаться заранее, чтобы в итоге сэкономить деньги, время и нервы.