Компаниям, столкнувшимся с утечками персональных данных, стоит уведомить регулятора до 30 мая 2025 года — в этом случае ответственность будет определяться по нынешним, более мягким нормам закона. После этой даты вступят в силу новые, ужесточенные штрафы, включая санкции за несвоевременное уведомление о компрометации данных.
Почему важно успеть?
- До 30 мая — действуют старые нормы (без штрафов за неуведомление).
- После 30 мая — в силу вступят новые штрафы, в том числе за сокрытие инцидентов.
Про новые штрафы мы писали ранее.
Как подтвердить факт утечки?
Дата инцидента фиксируется:
- При публикации данных злоумышленниками.
- После официального уведомления от
компании-оператора .
Важно: если утечка произошла, но данные еще не всплыли в сети, бизнесу выгоднее сообщить об этом сейчас — до ужесточения санкций.
Готов ли бизнес к изменениям?
По данным опроса InfoWatch и BISA:
- 58% компаний принимают меры.
- 28% — игнорируют новые требования.
- 45% респондентов признают: главная проблема — непонимание руководством рисков утечек.
Статистика утечек: тревожные тренды
- В 2024 году из российских компаний утекло 1,5 млрд записей ПДн (+30% к 2023 году).
- 26% организаций считают утечки «несущественной» проблемой, хотя 25% признали минимум 2 инцидента за 3 года.
- Только 35% компаний оценивают ущерб от утечек системно.
Вывод
Бизнесу критически важно:
- Проверить историю инцидентов.
- Сообщить о прошлых утечках до 30 мая.
- Усилить защиту данных, особенно биометрии и аутентификационной информации (логины/пароли), которая чаще всего используется мошенниками.