С 30 мая российский бизнес ждет настоящий переломный момент: защита персональных данных из абстрактной «галочки» превращается в реальную финансовую необходимость. Член Общественного совета при Минцифры России, директор Департамента цифровых технологий ТПП РФ Владимир Маслов убежден: организации, которые первыми адаптируются к новым правилам, смогут не только избежать штрафов, но и завоевать дополнительное доверие клиентов.

С 30 мая российский бизнес ждет настоящий переломный момент: защита персональных данных из абстрактной «галочки» превращается в реальную финансовую необходимость. Член Общественного совета при Минцифры России, директор Департамента цифровых технологий ТПП РФ Владимир Маслов убежден: организации, которые первыми адаптируются к новым правилам, смогут не только избежать штрафов, но и завоевать дополнительное доверие клиентов.

Вместо символических штрафов, которые раньше можно было списать как незначительные расходы, бизнесу грозят ощутимые санкции. Теперь будет достаточно одного серьезного инцидента с утечкой, чтобы компания лишилась суммы, сопоставимой с годовым бюджетом целого департамента — до 3% выручки или минимум 20 млн рублей.

Эти изменения стали ответом на тревожную статистику: в 2024 году Роскомнадзор зафиксировал 135 утечек, которые затронули миллионы россиян. При этом прежние штрафы в десятки тысяч рублей воспринимались многими компаниями скорее как «налог на небрежность», а не как стимул укреплять защиту данных. Теперь же ценник за халатность стал настолько серьезным, что даже крупнейшие игроки рынка будут вынуждены пересмотреть свои подходы к безопасности.

В глобальном контексте Россия далеко не первая страна, которая перешла к подобной системе штрафов. Европейский Союз уже несколько лет преследует жесткий подход в рамках Общего регламента по защите данных (GDPR). С момента его введения в 2018 году общая сумма штрафов превысила €5,5 млрд, а рекордсменом стала компания Meta, оштрафованная в 2023 году на €1,2 млрд за пересылку данных европейских пользователей в США.

Типичные санкции по GDPR достигают 4% от глобального оборота компании, что для крупных корпораций означает сотни миллионов. При этом европейские регуляторы не делают скидок никому — в числе оштрафованных организаций значатся такие корпорации, как Amazon, Uber и TikTok.

В США, несмотря на отсутствие единого федерального закона, штрафы за утечки данных также впечатляют своими размерами. Например, калифорнийский закон CCPA (California Consumer Privacy Act) позволяет взыскивать до $7,5 тыс. за каждую утечку — представьте счет, когда речь идет о миллионах пользователей. Но настоящим «адвокатом страха» является Федеральная торговая комиссия (FTC), которая не церемонится с нарушителями. Так, в 2024 году компания Verkada была оштрафована на $2,95 млн после того, как хакеры получили доступ к камерам в больницах и женских клиниках. А в 2019 году Facebook установил антирекорд, заплатив $5 млрд за утечку данных 87 млн пользователей в Cambridge Analytica — это крупнейший штраф в истории Торговой комиссии США за нарушения конфиденциальности.

Китайский подход к защите персональных данных отличается особой строгостью. В 2021 году в стране был принят Закон о защите персональной информации (PIPL), который предусматривает санкции до 5% годовой выручки компании, а в наиболее серьезных случаях — уголовную ответственность для руководителей.

Ярким примером применения этого законодательства стало расследование в отношении сервиса совместных поездок Didi. Компанию обвинили в избыточном сборе пользовательских данных, включая контакты, геолокацию и фотографии. В августе 2022 года Китайское управление по киберпространству (CAC) наложило на Didi рекордный штраф в размере 8 млрд юаней (около $1,18 млрд). Руководители компании также понесли персональную ответственность — председатель и президент Didi были оштрафованы на 1 млн юаней ($137 тыс.) каждый, что составляет максимально возможный размер штрафа для физических лиц.

Сравнивая международный опыт, можно сделать несколько важных выводов для российского бизнеса. Во-первых, новые российские штрафы (до 3% выручки) пока остаются мягче многих международных аналогов. Во-вторых, ключевой глобальный тренд — это привязка санкций к масштабу бизнеса, а не фиксированные суммы, что делает наказание ощутимым для компаний любого размера. И наконец, уведомление регулятора об инцидентах становится обязательной практикой во всем мире — замалчивание утечек теперь карается особенно строго.

У российских компаний осталось не так много времени, чтобы подготовиться к новым реалиям. Уже сейчас стоит провести полный аудит систем хранения и обработки персональных данных, внедрить процедуры оперативного реагирования на инциденты, рассмотреть возможность киберстрахования и обязательно обучить сотрудников новым требованиям. Главное — осознать, что в современном мире данные стали таким же важным активом, как финансы или имущество компании. Их защита — это уже не формальность, а конкурентное преимущество и залог устойчивого бизнеса в условиях ужесточающегося регулирования. Те организации, которые первыми адаптируются к новым правилам, смогут не только избежать штрафов, но и завоевать дополнительное доверие клиентов, для которых защита персональной информации становится одним из ключевых факторов при выборе сервисов.

Автор — член Общественного совета при Минцифры России, директор Департамента цифровых технологий ТПП РФ Владимир Маслов.

Автор выражает личное мнение, которое может не совпадать с позицией редакции.

Поделиться