12 июля Минцифры пояснило, что ведомство против предупреждения компаний за первую утечку персональных данных и предлагает сразу штрафовать, причем соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы.
Ведомство пояснило, что в новой версии законопроекта о штрафах за утечку персональных данных Минцифры будет «настаивает на усилении ответственности операторов персональных данных и при этом считает необходимым прояснить важные детали».
Основные изменения, предлагаемые Минцифры:
- определить, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные;
- установить соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте;
- применять штрафы в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф;
- для оборотных штрафов установить границы («от» и «до» какого процента от выручки можно будет взыскать). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным;
- предусмотреть процедуру добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований;
Минцифры и эксперты рынка считают, что только многомиллионные оборотные штрафы за утечки персональных данных российских пользователей смогут заставить компании усилить безопасность и механизмы хранения ПД.
Позиция Минцифры по поводу утечек, штрафов за них и борьбы с такими инцидентами:
- Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством, и в итоге причиняют еще больший ущерб гражданам;
- дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей. Сейчас вопрос нарушений законодательства в области персональных данных регулируется статьей 13.11 Административного кодекса. Максимальное наказание, установленное в ней, предполагает штраф в 500 тыс. рублей для юридических лиц. Оборотные штрафы, на введении которых настаивает Минцифры, будут исчисляться в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд рублей;
- реальный уровень защиты, действующий в компаниях, сейчас определить сложно. Для этого Минцифры предлагает ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности;
- важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с «Агенством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
11 июля СМИ сообщили, что российские IT-компании, включая «Ростелеком», МТС, «Авито», «Яндекс», Ozon, «Вымпелком» и VK, попросили Минцифры заменить штраф за первый выявленный факт утечки персональных данных клиентов на предупреждение. Эксперты отрасли скептически отнеслись к такой градации, так как в этом случае многие компании просто будут заявлять во время второй и третьей утечки, что это первая утечка, просто там больше данных было изначально, но это всплыло позже. Такое уже было с «Яндексом» и Delivery Club и у других компаний за последние несколько месяцев. Надзорное ведомство, наоборот, хочет ужесточить ответственность компаний за массовые утечки.
В настоящее время за утечку персональных данных очень маленькие штрафы, согласно ст.13.11 КоАП. Фактически операторы ПД сейчас ничем не рискуют, если потеряют базы данных тысячи пользователей. На них судом будет наложен штраф в несколько десятков тысяч рублей (от 60 до 100 тыс. рублей).
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В июле Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
