Или почему за незаконные действия с персональными данными теперь можно загреметь в тюрьму на 10 лет
Предлагаем ознакомиться с авторским материалом члена Бюро по защите прав предпринимателей и инвесторов подмосковной «ОПОРЫ РОССИИ», адвоката по экономическим преступлениям Татьяны Бакулевой.
С декабря 2024 года в Уголовном кодексе России появилась статья 272.1, которая может существенно изменить подход бизнеса к работе с персональными данными.
Закон стал гораздо жёстче, особенно в отношении компаний, которые хранят, передают или обрабатывают данные клиентов и сотрудников.
Что грозит бизнесу?
Новая статья вводит уголовную ответственность за:
- незаконное использование, сбор или хранение персональных данных в компьютерных системах,
- передачу таких данных третьим лицам — в том числе по контракту или неформально,
- создание/поддержку сайтов или сервисов, которые хранят или передают такие данные.
Наказание: от штрафа в 300 тыс. руб. до 10 лет лишения свободы — в зависимости от обстоятельств.
Данные, полученные законным путём, это такие персональные данные, в отношении которых есть явно выраженное согласие на их сбор, обработку и хранение, и они используются только в тех целях, которые указаны в согласии. Поэтому даже небрежно составленное согласие на обработку персональных данных может нести в себе уголовный риск.
На что стоит обратить внимание
Продажа баз данных = преступление
Передача или продажа клиентской базы (даже по договору), если в ней есть данные без согласия пользователей — это прямое нарушение. Даже если вы не используете их сами — уже уголовный риск.
Не храните «про запас»
Хранение «архивных» данных, к которым давно нет доступа пользователей, — потенциальный повод для претензий. Удаляйте, если нет законных оснований на обработку.
Особые категории = особая осторожность
Биометрия, здоровье, дети — любые действия с этими данными вне закона без явного согласия могут привести к реальному сроку.
Зарубежные подрядчики = зона риска
Если вы передаёте персональные данные за границу (например, в облако или аналитический сервис), удостоверьтесь, что вы действуете по закону о трансграничной передаче данных. Нарушение = часть 4 статьи 272.1 УК РФ.
Что делать бизнесу?
1. Проведите аудит систем хранения и обработки персональных данных.
2. Обновите политику конфиденциальности — особенно согласия на обработку и передачу.
3. Сделайте ревизию всех локальных актов об обработке персональных данных – суды действительно пристально их изучают, решая вопрос об уголовной ответственности за некорректную работу с персональными данными. Привлекайте для этих целей наряду со специалистами по работе с персональными данными уголовных адвокатов.
4. Настройте внутренний контроль доступа: кто, когда и зачем получает доступ к персональной информации.
5. Исключите продажу баз данных — даже частным образом, даже “в закрытом канале”.
6. Обучите сотрудников работе с персональными данными и рискам новой статьи УК.
Прямо сейчас внесите в свои формы согласия на обработку персональных данных следующий пункт: «Организация не несет ответственности за противоправные действия третьих лиц, направленные на незаконный доступ, изъятие и распространение персональных данных».
Этот пункт на случай взлома и хищения данных посторонними лицами, он будет работать, если приняты разумные меры для охраны данных внутри компании, в противном случае, панацеей от уголовного преследования не станет.
Резюме
Новая статья — это сигнал: персональные данные — не актив, а ответственность. Любая неосторожность теперь может обернуться не только штрафом, но и уголовным делом.
Если вы работаете с данными — время навести порядок именно сейчас.
В приложенном файле вы найдете чек-лист, который поможет понять, как обстоят дела с персональными данными в вашей компании.
Автор: Татьяна Бакулева, адвокат по экономическим преступлениям