Предложение о более суровой ответственности за утечки биометрии, а также данных нескольких «специальных категорий» содержится в версии законопроекта об оборотных штрафах за утечки персональных данных, которую представило в конце ноября Минцифры. «Ведомости» ознакомились с копией документа.
По словам представителя Минцифры, пункт о более жёсткой ответственности за утечки отдельных категорий данных обсуждается министерством с отраслью с лета 2022 года. «Такие ПД относятся к наиболее чувствительным, поэтому мы добавили этот пункт в перечень отягчающих обстоятельств», — отметил он.
Среди отягчающих факторов в документе предлагают учитывать характер утекших ПД. Если в сеть сольются «базы данных (или их части), содержащие „специальную категорию“ ПД или биометрические ПД», это будут учитывать при назначении административного наказания, отмечается в законопроекте. Но как именно этот факт будет влиять на решение о сумме штрафа, не сообщается.
К смягчающим факторам относят предложения о компенсациях пострадавшим от утечек, а также добровольный аудит защищённости данных и ряд других параметров.
К специальной категории ПД относятся данные о состоянии здоровья, наличии судимости, религиозных убеждениях и тому подобное, пояснил «Ведомостям» бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
К такой информации также относятся данные о расовой и национальной принадлежности, политических взглядах, интимной жизни, добавил партнёр адвокатского бюро «Юрлов и партнёры» Глеб Ситников. К биометрическим данным относятся биометрия лица, отпечатки пальцев и все те данные, которые характеризуют физиологические и биологические особенности человека, добавил он.
Но в законе нет прямого перечисления, какие именно данные признаются биометрическими, говорит партнёр коллегии адвокатов Pen & Paper Екатерина Тягай. «Например, по мнению Минцифры, к биометрическим ПД относятся «фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина», — отметила она.
Самые крупные операторы данных «специальной категории» — соцсети, различные телемедицинские сервисы, лаборатории по сдаче анализов, производители гаджетов в сфере здравоохранения, если они имеют привязку к облачным сервисам, пояснил эксперт по защите ПД консалтинговой компании Б-152 Максим Лагутин.
Держатели биометрических данных — банки, различные сервисы каршеринга и другие. «По закону к этим данным предполагаются повышенные требования по защите. Это наиболее чувствительные данные для человека, именно поэтому их утечка может привести к более серьёзным последствиям, чем, например, утечка финансовых данных», — добавил Лагутин.
Основное отличие в обороте биометрических и специальных данных от обычных ПД — это необходимость наличия письменного согласия на их обработку, пояснил Ситников. К такому согласию предъявляются гораздо более строгие формальные требования, чем к обычному информированному согласию на обработку данных, отметил юрист.
К вопросу сохранности личных данных граждан следует подходить совместно и операторам данных, и государству, обращает внимание заместитель гендиректора по ИБ лаборатории «Гемотест» Сергей Тоток. Тем не менее, всех мер может быть недостаточно для любого оператора, добавил топ-менеджер.
При обсуждении законопроекта прежде всего необходимо проработать сбалансированный подход, учитывающий текущий уровень защиты в каждой конкретной кредитной организации, полагают в банке «Тинькофф». «Штрафные санкции необходимо ранжировать в зависимости от текущих усилий компании в области защиты данных. Те, кто уже направил достаточно средств и имеет соответствующий уровень защиты, по нашему мнению, должны облагаться минимальными штрафами», — сообщил «Ведомостям» представитель банка.
Ранее Ассоциация больших данных (АБД; входят интернет-компании, операторы связи и банки) раскритиковала разработанные на площадке Минцифры поправки в законопроект об оборотных штрафах за утечки персональных данных.
