Российские IT-компании, включая «Ростелеком», МТС, «Авито», «Яндекс», Ozon, «Вымпелком» и VK, попросили Минцифры заменить штраф за первый выявленный факт утечки персональных данных клиентов на предупреждение. Надзорное ведомство, наоборот, хочет ужесточить ответственность компаний за массовые утечки.
В настоящее время за утечку персональных данных очень маленькие штрафы, согласно ст.13.11 КоАП. Фактически операторы ПД сейчас ничем не рискуют, если потеряют базы данных тысячи пользователей. На них судом будет наложен штраф в несколько десятков тысяч рублей (от 60 до 100 тыс. рублей).
Минцифры и эксперты рынка считают, что только многомиллионные оборотные штрафы за утечки персональных данных российских пользователей смогут заставить компании усилить безопасность и механизмы хранения ПД.
Российские IT-компании в качестве причины отмены новых многомиллионных штрафов озвучили возможность потери или ухудшения бизнеса на фоне текущей экономической ситуации, так как в этом случае многим компаниям придётся для выплаты штрафа использовать большую часть своих средств.
С оборотными штрафами за утечку данных не согласны в Tele2 (дочке «Ростелекома»). Там считают, что в случае утечек оператор ПД теряет лояльность клиентов, от него начинают уходить абоненты, а его репутации наносится ущерб. Поэтому в компании не видят смысла в ещё большем наказании за утечки.
Минцифры по просьбе компаний начало пересматривать свою позицию по поводу штрафов за утечки. Ведомство уже согласилось уменьшить размер штрафа за утечку ниже 1% от оборота.
Представители бизнеса предложили Минцифры ввести трехступенчатую систему наказания за утечки: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации данных компания должна заплатить крупный штраф; утечка в третий раз означает получение оборотного штрафа.
Эксперты отрасли скептически отнеслись к такой градации, так как в этом случае многие компании просто будут заявлять во время второй и третьей утечки, что это первая утечка, просто там больше данных было изначально, но это всплыло позже. Такое уже было с «Яндексом» и Delivery Club и у других компаний за последние несколько месяцев.
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В июле Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
