Минцифры предложило ввести персональную ответственность для должностных лиц за утечки персональных данных (ПД) пользователей.
В новой версии законопроекта об оборотных штрафах за утечки персональных данных предусмотрены штрафы не только для компаний, но и для их должностных лиц. Так, для руководителей компании, допустившей утечку данных от 10 тыс. до 100 тыс. субъектов ПД, штраф составит 200 тыс. – 400 тыс. рублей. Для ИП и юрлиц штраф за такой же инцидент составит 0,02% от оборота, но не менее 1 млн рублей.
В законопроекте предлагается ввести штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В новой версии документа такой порядок штрафов предусмотрен только для компаний, действия которых привели к утечке баз данных, содержащих более 100 тыс. записей.
Также Минцифры пояснило, что оборотные штрафы будут применяться лишь в том случае, если утечка базы данных объёмом от 10 тыс. до 100 тыс. записей позволяет определить принадлежность этих данных не менее чем к 1 тыс. конкретных субъектов ПД, а в случае, если объём утечки превышает 100 тыс., то 10 тыс. субъектов. Из этого следует, что за утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут. Кто и как будет проверять данные 1-10 тыс. субъектов ПД, пока непонятно.
Эксперты отрасли считают, что введение персональных штрафов за утечки данных, с одной стороны, может привести к тому, что ответственные должностные лица будут принимать соответствующие меры для обеспечения надежной защиты ПД пользователей, но с другой стороны, это не закроет проблемы с защитой ПД в компаниях, где есть определённые выстроенные бизнес-процессы, которые даже высшие должностные лица не могут поменять или скорректировать в течение короткого промежутка времени.
Ранее ведомство предлагало сделать фиксированный штраф за первую утечку данных, если от неё пострадали менее 10 тыс. клиентов компании. В остальных случаях будет оборотный штраф в размере от 1% до 3% от годового оборота компании. Причём компания может добиться снижения такого штрафа, если оперативно выявила утечку, публично призналась в утечке данных, провела внутреннее расследование и опубликовало его результаты, помогала надзорным органам, а в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности внутри компании.
Проблема в том, что только с начала года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
С другой стороны, доказать ущерб гражданам от утечки их персональных данных в суде даже в групповом иске непросто, так как компании после утечек максимально пытаются дистанцироваться от этой ситуации. В итоге суд может присудить символические компенсации.
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
18 августа в Минцифры рассказали, что планируется создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных из компаний. Предполагается, что в качестве финансовых средств в фонде будут использоваться оборотные штрафы, наложенные на компании за утечку данных. Инициатива по оборотным штрафам также находится на обсуждении.
В ноябре 2021 года суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов, включая скан-копии их паспортов. Эксперты считают, что ущерб для пользователей от таких утечек может быть в сотни миллионов рублей: мошенники могут брать по документам из утечки микрозаймы, оформлять сим-карты или кошельки платежных систем и даже попытаться украсть деньги с банковских счетов пострадавших клиентов с помощью социальной инженерии.
18 августа московский суд оштрафовал Delivery Club на 80 тыс. рублей за утечку персональных данных более 2 млн пользователей сервиса и более 130 тыс. курьеров.
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Административное наказание было наложено за инцидент с утечкой информации о курьерах, а ранее аналогичный штраф был наложен судом на «Яндекс» за утечку данных пользователей. Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В начале июля Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
12 июля Минцифры пояснило, что ведомство против предупреждения компаний за первую утечку персональных данных и предлагает сразу штрафовать, причём соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы.
В начале августа Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных». Согласно законопроекту, операторы ПД будут обязаны отслеживать кибератаки и утечки личной информации пользователей, а также отчитываться о каждом инциденте в надзорные ведомства.
В новой версии законопроекта об оборотных штрафах за утечки персональных данных предусмотрены штрафы не только для компаний, но и для их должностных лиц. Так, для руководителей компании, допустившей утечку данных от 10 тыс. до 100 тыс. субъектов ПД, штраф составит 200 тыс. – 400 тыс. рублей. Для ИП и юрлиц штраф за такой же инцидент составит 0,02% от оборота, но не менее 1 млн рублей.
В законопроекте предлагается ввести штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В новой версии документа такой порядок штрафов предусмотрен только для компаний, действия которых привели к утечке баз данных, содержащих более 100 тыс. записей.
Также Минцифры пояснило, что оборотные штрафы будут применяться лишь в том случае, если утечка базы данных объёмом от 10 тыс. до 100 тыс. записей позволяет определить принадлежность этих данных не менее чем к 1 тыс. конкретных субъектов ПД, а в случае, если объём утечки превышает 100 тыс., то 10 тыс. субъектов. Из этого следует, что за утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут. Кто и как будет проверять данные 1-10 тыс. субъектов ПД, пока непонятно.
Эксперты отрасли считают, что введение персональных штрафов за утечки данных, с одной стороны, может привести к тому, что ответственные должностные лица будут принимать соответствующие меры для обеспечения надежной защиты ПД пользователей, но с другой стороны, это не закроет проблемы с защитой ПД в компаниях, где есть определённые выстроенные бизнес-процессы, которые даже высшие должностные лица не могут поменять или скорректировать в течение короткого промежутка времени.
Ранее ведомство предлагало сделать фиксированный штраф за первую утечку данных, если от неё пострадали менее 10 тыс. клиентов компании. В остальных случаях будет оборотный штраф в размере от 1% до 3% от годового оборота компании. Причём компания может добиться снижения такого штрафа, если оперативно выявила утечку, публично призналась в утечке данных, провела внутреннее расследование и опубликовало его результаты, помогала надзорным органам, а в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности внутри компании.
Проблема в том, что только с начала года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
С другой стороны, доказать ущерб гражданам от утечки их персональных данных в суде даже в групповом иске непросто, так как компании после утечек максимально пытаются дистанцироваться от этой ситуации. В итоге суд может присудить символические компенсации.
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
18 августа в Минцифры рассказали, что планируется создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных из компаний. Предполагается, что в качестве финансовых средств в фонде будут использоваться оборотные штрафы, наложенные на компании за утечку данных. Инициатива по оборотным штрафам также находится на обсуждении.
В ноябре 2021 года суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов, включая скан-копии их паспортов. Эксперты считают, что ущерб для пользователей от таких утечек может быть в сотни миллионов рублей: мошенники могут брать по документам из утечки микрозаймы, оформлять сим-карты или кошельки платежных систем и даже попытаться украсть деньги с банковских счетов пострадавших клиентов с помощью социальной инженерии.
18 августа московский суд оштрафовал Delivery Club на 80 тыс. рублей за утечку персональных данных более 2 млн пользователей сервиса и более 130 тыс. курьеров.
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Административное наказание было наложено за инцидент с утечкой информации о курьерах, а ранее аналогичный штраф был наложен судом на «Яндекс» за утечку данных пользователей. Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В начале июля Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
12 июля Минцифры пояснило, что ведомство против предупреждения компаний за первую утечку персональных данных и предлагает сразу штрафовать, причём соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы.
В начале августа Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных». Согласно законопроекту, операторы ПД будут обязаны отслеживать кибератаки и утечки личной информации пользователей, а также отчитываться о каждом инциденте в надзорные ведомства.
