“Регуляторы сейчас не шутят. Они рассматривают штрафы не как разовые карательные меры, а как инструмент перестройки целых рынков. Если GDPR первым показал силу финансового рычага, то следом идут остальные, включая российские. Уже ясно, кто будет следующими целями, это не гиганты, а средний сегмент, который привык летать под радаром.”
Общая сумма штрафов по GDPR перевалила за 5 миллиардов евро. Самое громкое дело — рекордный штраф в 1,2 миллиарда долларов одной из крупнейших IT-компаний за незаконный трансграничный персональных данных. Но главный тренд последних двух лет — регуляторы начали массово и целенаправленно штрафовать не только транснациональных гигантов, но и компании среднего звена, особенно из сектора SaaS, fintech и e-commerce.
Почему GDPR стал эталоном для регуляторов
GDPR — General Data Protection Regulation — европейское законодательство о защите персональных данных, вступившее в силу в 2018 году. Его ключевая особенность — экстерриториальное действие: правила применяются ко всем организациям, которые обрабатывают данные граждан ЕС, независимо от места регистрации самой компании. Создан как единый стандарт, призванный заменить разрозненные национальные законы 28 стран.
Но GDPR важен не только своими правилами. Он создал работающую модель регулятивного давления, основанную на трёх принципах:
- Превентивные меры вместо реактивных. Компания обязана доказать, что она изначально соблюдает принципы защиты данных, а не исправляет нарушения по факту проверки.
- Персональная ответственность руководителей. Риски выходят за рамки юридического лица и затрагивают директоров.
- Финансовые санкции, сопоставимые с глобальным оборотом. Штрафы до 4% от годового мирового оборота группы компаний делают невыгодным игнорирование требований.
Именно эта модель — жёсткая, но предсказуемая и финансово ощутимая — была взята на вооружение регуляторами по всему миру, включая Россию. Они увидели, что такой подход реально меняет поведение бизнеса.
Следующие в очереди: куда смотрит ФСТЭК и Роскомнадзор
Российское законодательство в сфере защиты информации исторически было ориентировано на государственную тайну и критическую инфраструктуру. 152-ФЗ «О персональных данных» долгое время воспринимался как формальность. Ситуация изменилась с ужесточением правоприменительной практики и принятием новых подзаконных актов.
Сейчас регуляторы чётко обозначили приоритеты. Если GDPR сосредоточен на правах субъектов данных, то российские надзорные органы смотрят на три ключевых риска:
- Утечки через внешние сервисы. Активное использование иностранного SaaS (CRM, маркетинг, аналитика), где данные граждан РФ попадают под юрисдикцию других государств.
- Некорректная классификация информационных систем. Занижение уровня защищённости ИСПДн, чтобы избежать затрат на реализацию требуемых мер.
- Отсутствие локализации. Первичная обработка и хранение персональных данных граждан РФ за пределами России.
Облачные провайдеры и интеграторы под прицелом
Роскомнадзор и ФСТЭК всё чаще применяют подход не к оператору данных, а к техническому исполнителю. Если компания размещает базу клиентов в облаке, которое не прошло аттестацию ФСТЭК или не обеспечивает локализацию, ответственность могут разделить оба участника. Это меняет рынок: заказчики начинают требовать от поставщиков облачных услуг не просто SLA, а подтверждение соответствия требованиям 152-ФЗ и приказов ФСТЭК.
Тактика регуляторов: от предписаний к блокировкам
Процесс обычно развивается по нарастающей. Сначала — плановая или внеплановая проверка по заявлению граждан или по данным мониторинга. Частый повод — жалоба на спам или несанкционированную рассылку, которая тянет за собой проверку всей цепочки обработки данных.
Затем следует предписание об устранении нарушений. Если компания его игнорирует или выполняет формально, регулятор переходит к более жёстким мерам:
- Наложение административного штрафа на юридическое лицо и должностных лиц.
- Ограничение доступа к информационному ресурсу (блокировка сайта или сервиса) до устранения нарушений.
- При повторных или грубых нарушениях — передача материалов в правоохранительные органы для возбуждения уголовного дела по статье 137 УК РФ.
Блокировка ресурса, даже временная, для бизнеса, построенного на онлайн-продажах или сервисах, часто оказывается катастрофичнее разового штрафа.
Как не попасть в статистику штрафов
Стратегия «ждать проверки» сегодня проигрышна. Актуальный подход — превентивный аудит и приведение процессов в соответствие не на бумаге, а технически. Ключевые точки контроля:
| Область контроля | Ключевые требования (152-ФЗ, приказы ФСТЭК) | Типичные нарушения |
|---|---|---|
| Правовое основание обработки | Наличие согласия субъекта ПДн или иного законного основания (договор, закон). | «Тихий» сбор данных через формы, предустановленные галочки согласия, отсутствие механизма отзыва. |
| Локализация данных | Запись, систематизация, хранение — на серверах в РФ (ст. 18 152-ФЗ). | Использование зарубежных хостингов, CDN, облачных БД без подтверждения локализации. |
| Защита информации | Применение средств защиты, соответствующих уровню ИСПДн (Приказ ФСТЭК 21, 239 и др.). | Отсутствие СЗИ, неправильное определение уровня защищённости, формальное проведение аттестации. |
| Работа с подрядчиками | Заключение договора поручения обработки ПДн, контроль выполнения им требований. | Передача данных в маркетинговые сервисы, CRM, кол-центры без надлежащего договора. |
Для технической реализации важно не просто купить сертифицированный межсетевой экран, а выстроить процесс жизненного цикла защиты информации: от модели угроз и политики безопасности до мониторинга инцидентов и регулярного пересмотра мер.
Что будет дальше: эволюция регулятивной повестки
Тенденция очевидна: регуляторы будут использовать модель GDPR, адаптируя её под национальные особенности. В России это означает смещение фокуса с формального соответствия на практическую реализацию, особенно в свете импортозамещения.
Ожидаются следующие шаги:
- Рост автоматизированного мониторинга. Роскомнадзор уже тестирует системы анализа открытых источников на предмет утечек данных.
- Синхронизация с финансовым надзором. Совместные проверки с Банком России для финтех-компаний и операторов платежей.
- Расширение перечня «критической информационной инфраструктуры». В него могут войти не только энергетика и транспорт, но и крупные платформы данных, что повлечёт обязательное применение отечественных СЗИ.
- Персональные штрафы для ИТ-директоров и руководителей. По аналогии с европейской практикой, ответственность будет ужесточаться.
Штрафы в миллиарды, это не финал, а только начало нового этапа регулятивного давления. Цель — не собрать деньги в бюджет, а принудить целые отрасли перестроить архитектуру обработки данных в соответствии с новыми правилами игры. Те, кто воспримет это как технический debt, который можно отложить, окажутся следующими в очереди.