В Российском союзе промышленников и предпринимателей (РСПП) предложили не штрафовать за утечки операторов персональных данных (ПД) с современными системами защиты. Там считают, что законопроект Минцифры о введении штрафов за утечки ПД должен стимулировать работу в области информационной безопасности, а не нести репрессивный характер, так как компании начнут приспосабливаться, дробить бизнес и избегать штрафов, а не утечек.
Эксперты РСПП считают, что:
- предлагаемый подход с оборотными штрафами не позволит эффективно бороться с утечками персональных данных и одновременно создаст высокие риски для добросовестных участников рынка;
- введение высоких оборотных штрафов приведёт к сокращению инвестиций бизнеса в информационную безопасность вместо ожидаемого их повышения, а также при неучёте сферы ведения и географии деятельности – к рискам банкротства компаний;
- создаются предпосылки для повышения давления на такие компании, прежде всего, как субъекты критической информационной инфраструктуры, со стороны хакеров, недобросовестных конкурентов и недружественных государств;
- в случае введения оборотных штрафов можно предположить начало массового «дробления» компаний в целях минимизации штрафов;
- нужно предусмотреть состав правонарушения таким образом, чтобы ответственность наступала исключительно в случае непринятия или принятия неадекватных выявленным угрозам безопасности, характеру обработки, объёму и чувствительности обрабатываемых данных, тяжести последствий для субъекта персональных данных технических, организационных и правовых мер защиты информации операторов персональных данных, что повлекло утечку персональных данных;
- штрафы и административные меры должны быть основаны на анализе лучших решений и технологий в области информационной безопасности в России. Если оператор персональных данных их в полном объёме выполняет, но утечка персональных данных происходит, то оборотный штраф не может применяться (в том числе за повторную утечку);
- базу оборотного штрафа необходимо исчислять с учётом текущей практики введения оборотных штрафов по иным правонарушениям. Если нарушение требований безопасности персональных данных повлекло утечку в процессе обработки данных, которая непосредственно связана с осуществлением предпринимательской деятельности и получением дохода, оборотный штраф может исчисляться исходя из этого дохода с учётом территории, на которой выявлено нарушение;
- необходимо разработать подходы к добровольному внесудебному возмещению вреда субъектам персональных данных в случае утечки их данных, однако требования к такому возмещению должны формироваться не на законодательном уровне, а в рамках саморегулирования.
Проблема в том, что только с начала 2022 года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
- 14 декабря 2022 года Минцифры разработало законопроект об оборотных штрафах для компаний за утечку персональных данных пользователей. Они могут составить до 3% от оборота организации. В Минцифры считают текущую ситуацию с утечками персональных данных «серьёзной» и «сложной».
- В начале декабря СМИ сообщили, что подведомственный Минцифры НИИ «Интеграл» будет искать утечки данных через публикации в Telegram, GitHub, Tor и Twitter. Ведомство заказало тендер на доработку системы мониторинга фишинговых сайтов и утечки персональных данных за 170,6 млн рублей. Исполнитель должен доработать существующее ИБ-решение и создать систему мониторинга, которая должна помочь оперативно выявлять утечки данных, предоставляя место выявления, время, уникальность, сведения о характере персональных данных, сведения о порядке распространения утекших данных.
- В законопроекте Минцифры предлагается ввести штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В новой версии документа такой порядок штрафов предусмотрен только для компаний, действия которых привели к утечке баз данных, содержащих более 100 тыс. записей.
- Минцифры пояснило, что оборотные штрафы будут применяться лишь в том случае, если утечка базы данных объёмом от 10 тыс. до 100 тыс. записей позволяет определить принадлежность этих данных не менее чем к 1 тыс. конкретных субъектов ПД, а в случае, если объём утечки превышает 100 тыс., то 10 тыс. субъектов. Из этого следует, что за утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут. Кто и как будет проверять данные 1-10 тыс. субъектов ПД, пока непонятно.
- В октябре Минцифры предложило ввести персональную ответственность для должностных лиц за утечки персональных данных (ПД) пользователей.
- Согласно изменениям в законе «О персональных данных», вступившим в силу 1 сентября 2022 года, в случае утечки данных оператор обязан в течение 24 часов уведомить об этом Роскомнадзор, а в течение 72 часов — предоставить ведомству результаты внутреннего расследования с указанием причины и виновных лиц. Максимальный штраф для бизнеса за утечку данных составляет 500 тыс. рублей (ст. 13.11 КоАП РФ).
- В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
