Rambler's Top100
Статьи
Николай НОСОВ  14 июля 2022

За утечки персональных данных будут наказывать строже

Минцифры России готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных, которая обсуждается бизнесом и экспертами.

Персональные данные в опасности

Регулярные звонки с предложением «бесплатных услуг» неизвестно откуда взявших ваши данные компаний; «представители служб безопасности банков», предлагающие «спасти» ваши сбережения путем перевода на надежный счет; попавшие в «аварию»  «родственники», которым срочно нужны деньги; взятые от вашего имени кредиты… Безопасность персональных данных (ПДн) из абстрактной проблемы давно превратилась в конкретную, затрагивающую практически каждого гражданина. 
Утечки происходят постоянно – только в этом году в СМИ появлялись подтвержденные сообщения об утечках персональных данных у компаний Delivery Club, «Гемотест» и сервиса «Яндекс.Еда». Но операторы ПДн практически не несут ответственности даже за получившие широкую огласку инциденты. В этом году наказали только «Яндекс.Еду». В апреле 2022 г. суд Москвы постановил оштрафовать «Яндекс» на 60 тыс. руб. – сумму символическую для компании, имеющей чистую прибыль несколько миллиардов рублей в год.

Однако пострадавшие от утечек граждане получают еще меньше. Выигранные суммы в 5000–15000, максимум 25 000 руб. за публикацию информации об анализах, болезнях или пластических операциях мало вдохновляют, особенно если учесть затраты на судебный процесс. Так что судебных дел очень мало.

Предложения Минцифры

Важность проблемы резко возросла в связи с обострением геополитической ситуации в мире. При отсутствии диалога с зарубежными регуляторами российские компании не могут рассчитывать на содействие в удалении ПДн, утекших с зарубежных хостингов. При этом персональные данные стали использоваться не только для экономических преступлений, но и в обострившейся информационной войне.

Ситуация вызывает озабоченность у государства. 8 июля 2022 г. Госдума одобрила и направила на подписание президенту законопроект  № 101234-8 о внесении изменений в Федеральный закон «О персональных данных», который ужесточает порядок трансграничной передачи персональных данных, доступ к ним в ЕГРН и сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой ПДн.

Будет повышена и ответственность операторов персональных данных – Минцифры занялось подготовкой новой версии законопроекта об оборотных штрафах за утечку ПДн. 12 июля 2022 г. по итогам совещания с представителями бизнеса министерство опубликовало пояснения  важных деталей готовящегося документа.
  • Будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но утечь такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают склейки из разных баз, выдавая их за утекшие из конкретных компаний данные.
  • Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте.
  • Штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф.
  • Для оборотных штрафов будут установлены градации (в процентах выручки). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным.
  • Будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек, и может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.
Сейчас максимальное наказание за нарушение законодательства в области персональных данных для юридических лиц предполагает штраф в размере 500 тыс. руб. По сути, Минцифры предлагает использовать европейский опыт и назначать штрафы в процентах от выручки компаний. В GDPR – регламенте ЕС, обновившем более раннюю Директиву о защите данных (DPD), – штрафы еще с 2016 г. привязаны к годовому обороту. Скорее всего, будут похожи и российские критерии смягчающих и отягчающих обстоятельств – неумышленность утечки, своевременное оповещение об инциденте, суть, тяжесть и продолжительность правонарушения.

Позиции экспертов

По мнению министерства, повышение ответственности должно стимулировать бизнес вкладывать средства в усиление информационной безопасности и в защиту персональных данных. Понятно предложение о добровольной аккредитации как способе оценки реального состояния безопасности на предприятии, но есть опасения, что они могут проводиться формально и окажутся лишь дополнительной «соломкой» – смягчающим обстоятельством на случай разбирательства.

«Аудит в рамках аккредитации и оценки выполнения мер по защите от утечек в контексте страхования профессиональной ответственности имеет смысл только в том случае, если его будет проводить страховая компания (страховщик), заинтересованная в реальной оценке безопасности страхователя (организации-клиента, чью профессиональную ответственность она страхует). Однако в силу отсутствия компетенций страховая компания скорее всего попросит страхователя самостоятельно оценить риски и декларировать уровень своей безопасности. При таком подходе в случае инцидента страховщик будет выплачивать деньги пострадавшим, но сможет взыскать выплаченную сумму со страхователя путем так называемого регрессного иска за неправильную оценку. В любом случае страховщик ничего не проиграет, а пострадавшим гражданам нововведения могут быть интересны – со страховой компании проще получить компенсацию. Непонятно только, как оценивать ущерб.

Если такую страховку можно рассматривать как аналог автомобильного OCAГО, то есть смысл подумать и об аналоге КАСКО – страховании организациями своих киберрисков, а не только ответственности. Видится, что страхование киберрисков может быть интересно как страховщикам, так и страхователям при условии грамотного юридического оформления», – дал комментарий нашему изданию член правления АРСИБ Константин Саматов.

Есть замечания и по объектам утечки персональных данных. «Оборотные штрафы надо накладывать с учетом холдинговой структуры ИТ-бизнеса, иначе у компаний появится соблазн «вешать» информационные системы на расходные, а не на доходные дочерние компании, чтобы штрафы платить именно с их оборота», – поделился опасениями председатель Ассоциации участников рынка данных, директор АНО «Инфокультура» Иван Бегтин. 

Увеличение штрафов не нравится многим представителям бизнеса, которые предлагают в случае первой утечки ограничиваться предупреждением. Оппоненты возражают, что в таком случае штрафов не будет совсем, поскольку у большинства крупных холдингов не было больше одной утечки за последние 10 лет. Да и утечки бывают разные. Странно будет ограничиться предупреждением, если утечет вся база сервиса «Госуслуги», даже если это произойдет впервые.

В документе Минцифры отмечается, что важно определить, как будут расходоваться собранные штрафы. Один из вариантов – выплачивать из них компенсации пострадавшим от утечек гражданам. Может быть создан специальный фонд, который будет действовать по аналогии с Агентством по страхованию вкладов, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев. Так что есть надежда, что пострадавшим от утечек гражданам компенсацию будет получить легче.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!