Законопроект Минцифры об оборотных штрафах за утечку персональных данных

В итоге, Министерству пришлось проводить обсуждения с представителями бизнеса (они прошли 7 июля, на встрече присутствовали представители «Ростелекома», МТС, «Авито», «Яндекса», Ozon, «Вымпелкома», VK и других компаний), которые дали, на мой взгляд, весьма полезные уточнения, хотя, позиция Минцифры, в целом, не изменилась: усиление ответственности операторов ПДн.

   - как именно будет устанавливаться вина конкретной компании? Возможны ситуации, когда данные с № телефона и ФИО абонента, например, оператора связи, могли «утечь» уже от партнера. Кроме того, анонсированные злоумышленниками утечки нужно проверять, не «склейки» ли это из разных баз, не устаревшие ли это данные и т.д. Нередко хакеры анонсируют несуществующие инциденты, чтобы нанести компаниям репутационный урон.
   - соразмерность штрафов за утечки объемам и критичности данных.
   - применение штрафов в 2 этапа. За первую утечку штраф будет фиксированным, размер зависит от объема "слива", и он будет точно ниже 1% оборота. Если инцидент повторился - в этом случае будет применяться оборотный штраф. Границы такого штрафа будут установлены (от и до какого % выручки можно взыскать). Учтут смягчающие и отягчающие обстоятельства (если компания приложила все усилия для усиления защиты - это смягчающее обстоятельство. Но если скрывать факт утечки, то это увеличит штраф).
   - так как реальный уровень защиты в компаниях определить сложно, будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности наподобие механизма страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это так же будет смягчающим обстоятельством. Аккредитация потребует проведения регулярных аудитов лицензиатами ФСТЭК, которые смогут подтвердить выполнение всех необходимых требований по уровню безопасности.

Позиция Минцифры, как уже выше сказано, - усиление ответственности за утечки ПДн, так как для решения этой серьезной проблемы существующей регуляторики явно не хватает, а штрафных санкций недостаточно, чтобы обращать внимание операторов ПДн на укрепление защиты. Так, сейчас штраф для юрлиц за утечку данных по ст. 13.11 КоАП - от 60 до 100 тыс руб., при повторном правонарушении — до 500 тыс. руб. В 2021 году Oriflame заплатила 30 тыс. руб. штрафа за утечку данных 1,3 млн клиентов, а «Яндекс.Еду» в этом году оштрафовали на 60 тыс. руб. Если эти штрафы перевести на компенсацию пострадавшим, то выплаты получились бы не более 10 копеек!!!

Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту ПДн. Выстраивать систему защиты станет выгоднее, чем забить мириться с последствиями утечек.

Куда будут расходоваться собранные штрафы?
Один из вариантов — выплаты компенсаций пострадавшим гражданам. Как вариант, специальный фонд по аналогии с «Агентством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.

Что изменилось уже сейчас? 6 июня Госдума приняла в третьем чтении поправки к закону «О персональных данных» — они вводят обязанность для всех компаний сообщать Роскомнадзору об утечках. Бизнес обязан сообщать в Роскомнадзор об утечке в течение 24 часов после ее обнаружения, а в течение 72 часов предоставить результаты расследования и информацию о виновных.

На мой взгляд, принятие законопроекта будет хорошим толчком для развития ИБ-отрасли. Жаль только, что в нашей стране это зачастую происходит из-за законодательной инициативы, а не из-за зрелости