ИТ-дайджест из нашего телеграм – канала «IT Правила игры» за ноябрь 2024 года

Необходимость ужесточения ответственности за утечку персональных данных обусловлена ростом правонарушений за последний год.

На сегодняшний день максимальный размер штрафов для юридических лиц за утечку персональных данных предусмотрен ч. 1 ст. 13.11 КоАП и составляет до 100 тысяч рублей (при повторном совершении административного правонарушения - до 300 тысяч рублей).

Конфиденциальная информация — это данные, доступ к которым ограничен и которые не предназначены для публичного раскрытия, например, персональные данные, коммерческая тайна, финансовая информация, медицинские записи и другая информация.

С сотрудников, разгласивших конфиденциальную информацию, крайне трудно взыскать понесённые компанией убытки. Необходимо заранее предпринять следующие меры:

• Введите положение о конфиденциальности с понятным порядком работы с чувствительной информацией (например, с запретом пересылки в мессенджерах)
• Постоянно актуализируйте перечень конфиденциальной информации, чтобы он соответствовал действительности, знакомьте сотрудников с изменениями под роспись
• Подписывайте соглашение (обязательство) о неразглашении конфиденциальной информации с каждым работником
• Назначьте лицо, ответственное за защиту конфиденциальной информации
• Используйте технические меры защиты (использование только защищенные средства хранения данных, проставление грифов конфиденциальности, в т.ч. на электронные документы)
• Повышайте уровень знаний сотрудников по работе с конфиденциальной информацией, проводите тестирования
• При реализации проектов, где используется крайне важная информация – ограничивайте количество сотрудников, фиксируйте факты передачи документов, содержащих конфиденциальную информацию, а также объем информации, переданной конкретному сотруднику

Обработка данных контрагентами не менее рискованна, чем обработка сотрудниками, и также требует дополнительных мер защиты на случай утечки:

• Включите в договоры с контрагентами обязательные положения о неразглашении конфиденциальной информации. Эти соглашения должны охватывать как самих контрагентов, так и их сотрудников
• Создайте общий перечень информации, отнесённой к конфиденциальной
• Определите в договоре или отдельном NDA чёткие санкции за нарушение условий конфиденциальности, включая штрафы, взыскание убытков и расторжение договора

Напоминаем, что 12 ноября 2024 года юристы ЦПО групп вместе с партнерами – компанией РБ Приоритет провели прямой эфир для ИТ-компаний, юристов, бухгалтеров в нашем ТГ-канале

Смотрите вебинар на удобной вам площадке:
RuTube
VK

Госдума во втором и третьем чтении приняла два значимых законопроекта об ужесточении ответственности за утечку персональных данных.

Что нового?


1) Внесение изменений в Кодекс об административных правонарушениях (проект федерального закона №502104-8):

Штрафы для компаний составят от 3 до 15 миллионов рублей в зависимости от объема утечки. В случае повторной утечки штрафы будут значительно выше: от 1% до 3% от выручки компании за прошлый год, но не менее 20 миллионов и не более 500 миллионов рублей.

Для смягчения ответственности при повторных утечках (ч.15 и 18 ст. 13.11 КоАП РФ) необходимо соблюдение трех условий:

• Инвестиции в информационную безопасность не менее 0,1% от оборота в течение трех лет
• Отсутствие отягчающих обстоятельств
• Документальное подтверждение соблюдения требований по защите персональных данных

Кроме того, будет установлена ответственность за невыполнение мер по обеспечению безопасности биометрических данных в Единой биометрической системе (ЕБС).

2) Внесение изменений в Уголовный кодекс (проект федерального закона №502113-8):

Появится новая статья 272.1, которая будет предусматривать наказание за незаконное хранение, сбор и передачу персональных данных, полученных противоправным путем. Наказание может составить до 10 лет лишения свободы.

Аккредитация предоставляет IT-компании определенные льготы, сегодня мы рассмотрим некоторые из них:

• Льготные ставки по налогу на прибыль

ДЛЯ ВСЕХ базовая ставка по налогу на прибыль вырастет с 20% до 25%. В федеральный бюджет нужно будет уплачивать 8%, а оставшиеся 17% — в региональный (п. 50 ст. 2 Закона № 176-ФЗ).

ДЛЯ ИТ-КОМПАНИЙ, получивших документ о государственной аккредитации, налоговая ставка по налогу, подлежащему зачислению в федеральный бюджет, вырастет с 0 до 5% (что все равно ниже общей ставки по прибыли), а в бюджет субъекта РФ - останется в размере 0% (ст. 7 Закона № 176-ФЗ).

Исключение составляют участники проекта «Сколково», которые освобождаются от уплаты этого налога на 10 лет.

• Льготный тариф по страховым взносам на ОПС, ОМС и по ВНиМ

ДЛЯ ВСЕХ единый тариф страховых взносов составляет 30% (п. 3 ст. 425 НК РФ).

ДЛЯ ИТ-КОМПАНИЙ, получивших документ о государственной аккредитации, продолжат действовать пониженные страховые взносы 7,6% (п. 5 ст. 427 НК РФ).

• Ограничение проведения выездных налоговых проверок

Выездные налоговые проверки приостановлены в отношении аккредитованных IT-компаний сроком на три года до 03.03.2025, могут быть проведены в исключительных случаях (<Письмо> ФНС России от 24.03.2022 N СД-4-2/3586@).

Нередко обязанности по обработке персональных данных формально возлагают на сотрудников, чья деятельность напрямую не связана с данной специализацией. Такой подход приводит к недостаточной защите данных и неэффективной организации процессов.

Если компания хочет привлечь стороннего специалиста или организацию, возможны следующие варианты:

• Полная передача функций: Ответственность за обработку персональных данных передается третьему лицу на основании гражданско-правового договора.

При изменении ответственного за обработку данных оператор обязан уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

• Привлечение аутсорсинговой компании для консультирования и технической поддержки деятельности оператора, оставляя внутреннего сотрудника формально ответственным лицом перед контролирующими органами.