Как игровым компаниям обеспечить безопасность персональных данных

Автор: Игорь Чувствинов, «ЭБР»

Вопрос обработки персональных данных пользователей сегодня становится как никогда актуальным для всех категорий бизнеса, в том числе для игровых компаний. В первую очередь это связано с тем, что безопасность данных — особенно приоритетное направление для государства. Причина — в недобросовестном или незаконном использовании личных данных. Это наносит существенный вред как отдельным гражданам, так и обществу в целом.

Фото: Shutterstock

Ведущий юрисконсульт IP практики юридической компании «ЭБР» Игорь Чувствинов рассказал, какие бывают штрафы за незаконное использование персональных данных.

Растёт количество мошенничеств, связанных с незаконным использованием персональных данных (или ПДн), которые попали в открытый доступ. По данным Роскомнадзора, только в 2024 году в сеть утекло более 710 млн записей о россиянах. И из года в год статистика только увеличивается. Чтобы нивелировать негативные последствия для граждан и снизить риски утечек, власти совершенствуют механизмы борьбы с интернет-мошенничеством и также ужесточают ответственность за нарушение законодательства о защите персональных данных.

В числе подобных инициатив, вступившие в силу в декабре 2024 года поправки в Уголовный кодекс за незаконное использование персональных данных, а также поправки в Кодекс об административных правонарушениях, которые вступят в силу 30 мая 2025 года. Появляется финансовая ответственность для компаний в случае утечек персональных данных. Поправки в КоАП касаются как существующих правонарушений, так и новых.

Штрафы за нарушение закона

Передали данные третьим лицам

Так, теперь за обработку персональных данных, несовместимую с целями их сбора, предусмотрена ответственность для юридических лиц от 150 тыс. рублей до 300 тыс. рублей. Например, пользователь дал согласие на обработку его данных для регистрации на сайте, предоставив владельцу сайта имя и фамилию, номер телефона и email. Далее владелец сайта эти данные переслал сторонней организации, которая начала беспокоить пользователя звонками или смс-рассылкой. На такие действия пользователь согласия не давал. Увеличился и штраф за подобное повторное нарушение от 300 тыс. рублей до 500 тыс. рублей.

Не уведомили Роскомнадзор 

Нововведением стали штрафы для компаний, которые хотят вести обработку персональных данных, но не уведомляют или несвоевременно уведомляют об этом Роскомнадзор. Это требование прописано в части 1 статьи 22 Закона «О защите персональных данных»: перед началом обработки персональных данных компания должна сообщить об этом регулятору, заполнив специальную форму на его официальном сайте или направив уведомление по форме в бумажном виде. Сейчас все формы размещены на официальном сайте Роскомнадзора. 

После этого Роскомнадзор включает компанию в перечень операторов персональных данных. Раньше ответственности за неисполнение этой обязанности не было, поэтому многие компании ее игнорировали. Но теперь за нарушение требования придется заплатить штраф от 100 тыс. рублей до 300 тыс. рублей.

Не защитили безопасность данных

Особого внимания заслуживают и новые составы за утечки персональных данных. Размер финансовой ответственности будет зависеть от количества утекших данных и варьируется от 5 млн рублей до 15 млн рублей. При утечке особо чувствительных категорий данных, например, информации о состоянии здоровья или половой принадлежности, штрафы для компаний становятся оборотными. Это значит, что их размер исчисляется в виде процента от совокупного размера выручки за год, предшествующий году, в котором была утечка. Сейчас минимальный оборотный штраф составляет 1%, а максимальный — 3%.

Новые положения закона устанавливают, что оборотный штраф в любом случае не может быть менее 20 млн рублей за повторную утечку обычных персональных данных (ФИО, паспортные данные, телефон, email) и менее 25 млн рублей за повторную утечку чувствительных данных.

Какие виды данных бывают

Так, к чувствительным персональным данным относятся специальные категории, перечисленные в статье 10 Закона «о защите персональных данных». Ими в том числе являются сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Перечень обычных персональных данных открыт, и в законе они напрямую не перечислены. Всё это приводит к довольно парадоксальной ситуации, когда компания, обрабатывающая ПДн просто может не знать, что данные, которые она собирает с пользователей, являются персональными. И тогда компания рискует получить штраф, в том числе оборотный. Например, пользователь вводит при регистрации на сайте компании имя и номер телефона для создания учётной записи. Это уже означает, что компания собирает персональные данные.

Как не получить штраф

Всё это мотивирует бизнес, включая игровые компании, ответственно подходить к сбору, хранению, обработке данных. Чтобы обеспечить соблюдение всех мер, установленных законодательством о защите персональных данных, компаниям стоит осуществить ряд шагов:

• Согласовать реально существующие процессы обработки персональных данных с тем, что компания указывает в политике обработки данных и в согласиях на их обработку, которые дают пользователи.
• Направлять уведомление об обработке персональных данных в Роскомнадзор.
• Соблюдать технические меры, направленные на обеспечение безопасности обрабатываемых персональных данных.

Сейчас в законе «О персональных данных» установлен открытый перечень технических мер, которые необходимо соблюдать компаниям. Они будут отличаться в зависимости от типа и объема обрабатываемых данных. Но в первую очередь, чтобы избежать санкций со стороны регуляторов, необходимо на постоянной основе проводить внешний юридический аудит по соблюдению законодательства о защите данных.

Отдельного упоминания заслуживает соблюдение требований к политике обработки персональных данных на сайте.  При подготовке такого документа в первую очередь важно отразить реально существующие в компании процессы обработки, а не просто скопировать текст из чужой политики. Для этого необходимо зафиксировать следующие вещи: 

• Чётко определить, для каких целей собираются и обрабатываются ПДн (например, регистрация пользователей, отправка рассылок, аналитика и т.д.).
• Указать, какие именно ПДн собираются (имя, email, телефон, IP-адрес и др.), а также методы их сбора (через формы, автоматические средства и т.п.).
• Обосновать законность обработки данных в соответствии с законодательством (например, согласие пользователя, выполнение договора или выполнение обязательств по закону).
• Прописать права субъектов ПДн: право на доступ к своим данным, их исправление, удаление, ограничение обработки и право на отзыв согласия. Прописать сроки ответов компании-оператора на запросы субъектов персональных данных в соответствии с законом.
• Указать случаи передачи данных третьим лицам (например, партнёрам или сервисам аналитики), а также условия такой передачи — и самое главное, собрать отдельное согласие на передачу третьим лицам ПДн.
• Описать меры по обеспечению безопасности персональных данных (использование шифрования, ограничение доступа и т.п.).
• Определить сроки хранения персональных данных и критерии их определения.

Если используются файлы cookie или другие технологии отслеживания — указать это и объяснить их назначение. Политику при этом важно обновлять в соответствии с изменением законодательства о персональных данных. Стоит отметить, что в последнее время это законодательство обновляется достаточно часто.

Пользователей необходимо информировать и объяснять им порядок внесения изменений в политику обработки ПДн. Кстати, с этого года снят моратория на внеплановые проверки Роскомнадзора. Поэтому особенно важно соблюдать все меры защиты и поддерживать документы регламентирующих процессы обработки данных в актуальной редакции.

Тенденция на усиление контроля государства за оборотом персональных данных в ближайшей перспективе будет только усиливаться, компаниям стоит ответственно подойти к вопросу соблюдения всех требований законодательства.