Новые штрафы за утечку персональных данных: как подготовиться к изменениям

В конце ноября президент Российской Федерации подписал ряд законов, касающихся персональных данных. С 30 мая 2025 года юридические лица могут быть оштрафованы за утечку ПДн на сумму до 500 миллионов рублей. Размер взысканий будет зависеть от масштабов инцидента.

Штрафы для юридических лиц за утечку персональных данных:

• от 1 до 10 тысяч человек или от 10 до 100 тысяч идентификаторов – штраф: до 5 миллионов рублей;
• от 10 до 100 тысяч человек или от 100 тысяч до 1 миллиона идентификаторов – штраф: до 10 миллионов рублей;
• более 100 тысяч человек или более 1 миллиона идентификаторов – штраф: до 15 миллионов рублей.

Штрафы для юридических лиц за повторную утечку персональных данных:

• от 1 до 3% выручки, но не менее 20 млн и не более 500 млн рублей.

В первой половине 2024 года Россия стала лидером по количеству баз данных компаний, слитых в даркнет. Этот тревожный факт и возможные финансовые последствия заставляют бизнес активно искать способы защиты конфиденциальной информации.

«В связи с этим компания Softline рекомендует не откладывать на потом выполнение требований законодательства по защите персональных данных. При решении этой задачи нужен комплексный подход – простого утверждения документации и внедрения стандартного набора средств защиты информации может быть недостаточно. Чтобы выполнять требования законодательства на постоянной основе, необходимо учитывать нюансы бизнес-процессов компании, проводить оценку защищенности ИТ-инфраструктуры, оценивать безопасность поставщиков. Например, при необходимости предоставления доступа к базе персональных данных партнерам, рекомендуем обратить внимание на технологию маскирования», —считает Юлия Смолина, руководитель центра компетенций по консалтингу ИБ компании Softline

Основная цель маскирования – защита чувствительных данных компании (ФИО, номера банковских карт, медицинские записи и т.д.) на фиктивные или измененные. Даже в случае утечки, они не будут интересны хакерам, так как не содержат реальные сведения пользователей.

Технология маскирования особенно актуальна при передаче конфиденциальной информации третьим лицам. Приведем несколько примеров таких ситуаций.

1. Ритейл: программы лояльности.

   Для создания персонализированных приложений в программах лояльности разработчикам нужно использовать данные клиентов. Маскирование позволяет скрывать персональную информацию пользователей от сотрудников, как внутренних, так и внешних, предотвращая её раскрытие.

2. Финансовые компании: внешний аудит.

   Во время проведения внешнего аудита финансовые организации предоставляют доступ к конфиденциальной информации сторонним организациям или специалистам. В таких случаях необходимо замаскировать важные данные, чтобы защитить чувствительную информацию от утечек.

3. Медицина: мобильные приложения.

   Для разработки мобильных приложений для медицинских компаний, ориентированных на пользователей, также необходимо обезличивать данные пациентов, их медицинские документы и сведения о заболеваниях. При этом сохраняя ценность данных для аналитиков, маркетологов и разработчиков.

В каждом из этих случаев использование маскирования данных помогает обеспечить баланс между доступом к информации для анализа, разработки внутренними и внешними сотрудниками и соблюдением стандартов безопасности и конфиденциальности.

В портфеле решений Softline есть отечественный продукт, который автоматизирует процесс маскирования и помогает избежать утечек персональных данных — Jay Data от компании Crosstech Solutions Group.

«У Jay Data есть два основных преимущества по сравнению с другими решениями для автоматизации процессов маскирования данных: гибкость и скорость. Продукт поддерживает работу с различными СУБД и настраивается под потребности каждой компании. Что касается скорости, то опыт многовендорных пилотов показал, что Jay Data является одним из лидеров на рынке по скорости маскирования данных. Решение позволяет ускорить процесс за счет увеличения количества сервисов и горизонтального масштабирования», —рассказывает Али Гаджиев, руководитель по продукту Jay Data компании Crosstech Solutions Group.