Персональные данные: новосибирскому бизнесу рассказали, как минимизировать риски

В эпоху цифровизации персональные данные стали не только ценным активом, но и головной болью для бизнеса
Ключевые риски
Утечки баз данных, мошеннические схемы и халатность сотрудников могут привести к репутационным и финансовым потерям. По словам разработчика программы «Магистр права в сфере интеллектуальной собственности и IT» НГУЭУ, доцента кафедры гражданского и предпринимательского права Елены Холмовой, любой бизнес, работающий с клиентскими данными (интернет-магазины, сервисы доставки, медицинские центры, банки, даже небольшие SaaS-стартапы), рискует столкнуться с проблемами.
Среди них:
- Слив баз данных — хакерские атаки, продажа информации сотрудниками, уязвимости в ПО;
- Дропперство — мошенники используют данные компании для обналичивания денег (например, регистрируют фирмы-однодневки на реальные паспорта);
- Фишинг и социальная инженерия — сотрудников обманом вынуждают передать доступ к системам;
- Внутренние угрозы — уволенный IT-специализмент может скопировать базу перед уходом.
Пример: В 2023 году крупный маркетплейс оштрафовали на 500 тыс. рублей после утечки персональных данных 200 тыс. клиентов. Базу слили в даркнет, а мошенники использовали ее для целевого спама и фишинга, — добавила эксперт.
Способы защиты
Есть технические меры: шифрование, двухфакторная аутентификация и др. И есть неочевидные лайфхаки на стыке техники и юриспруденции:
- Разделение доступа внутри компании – даже бухгалтерия не должна видеть полные клиентские базы; но разделение имеет смысл, когда оно осуществлено технически и подкреплено юридически – внутренними документами компании.
- Регулярные проверки защиты на устойчивость – нанимайте этичных хакеров для тестирования защиты (да, закон о «белых хакерах» не приняли, но физически-то они существуют), только не забудьте оформить договор, предусматривающий пределы их деятельности и ответственность за нарушения.
- Автоматическое удаление старых данных – если клиент не активен 3 года, его данные стоит анонимизировать; это должно быть отражено во внутренних документах и осуществлено технически.
- Контроль за дропперами – проверяйте, не регистрируют ли мошенники компании на ваших клиентов (можно мониторить выписки из ЕГРЮЛ).
Нестандартный кейс: Риелторский сервис внедрил систему, где клиенты сами подтверждали запросы на доступ к их данным через SMS. Это снизило риск внутренних злоупотреблений на 70%.
Санкции
- Штрафы — с 30 мая 2025 года значительно увеличены размеры штрафов за нарушение законодательства в области персональных данных. Обновления опираются на положения Федерального закона № 152-ФЗ и КоАП РФ. Так, за неправомерную обработку персональных данных (ПДн) физлицо уплатит штраф до 15 тысяч рублей, юрлицо — до 300 тысяч рублей. За неуведомление Роскомнадзора (РНК) о намерении обрабатывать ПДн — до 300 тысяч рублей. Обработка данных без согласия гражданина, к которому они относятся, повлечет штраф для физлица до 15 тысяч рублей, для юрлица — до 700 тысяч рублей. Неуведомление об утечке ПДн — влечет штраф до 3 млн рублей, а утечка большого количества ПДн — до 15 млн рублей. При утечке биометрических данных штраф увеличивается до 20 млн рублей, а при повторной утечке штраф может составить сумму до 500 млн рублей.
- Блокировка сайта (если Роскомнадзор обнаружит незаконный сбор ПДн).
- Уголовная ответственность (ст. 137 УК РФ) — если утечка привела к крупному ущербу.
Реальный случай: В 2024 году онлайн-школу оштрафовали на 2 млн рублей за хранение паролей в открытом виде. После проверки выяснилось, что базу взломали через уязвимость в CRM. Сегодня штраф был бы в 10 раз больше.
Прогнозы на будущее
Елена Холмова уверена, что требования к защите данных для всех категорий бизнеса усилятся.
- Цифровые профили граждан – Единый реестр ПДн может ужесточить правила хранения.
- Дальнейшее повышение штрафов за нарушения в сфере персональных данных.
- Введение обязательной сертификации систем защиты для некоторых отраслей.
- Расширение перечня ПДн, подлежащих особой защите.
- Автоматические штрафы – вероятно, Роскомнадзор начнет применять ИИ для поиска нарушителей.
Что делать прямо сейчас?
По словам Елены Холмовой, защита персональных данных — это не просто требование закона, а необходимое условие успешного ведения бизнеса в современном мире.
Для того, чтобы избежать проблем она рекомендует:
- Провести аудит хранения ПДн;
- Составить все необходимые документы, начиная с Политики безопасности;
- Внедрить современные средства защиты информации;
- Ограничить доступ сотрудников к данным;
- Внедрить систему мониторинга утечек.
Ранее редакция сообщала, что штраф за неподачу уведомления об обработке персональных данных возрастет.
Источник: Infopro54
Иллюстрация создана с помощью нейросети Шедеврум