Бизнес проголосовал за смягчающие меры наказания при утечке данных

@comnews
Image by Freepik

Ассоциация больших данных поддержала позицию Минэкономразвития о снижении размера потенциальных штрафов и ответственности для бизнеса за утечки персональных данных. Ассоциация предложила механизмы, смягчающие ответственность для компаний.

25 октября на Евразийском конгрессе по защите данных выступила директор по стратегическим проектам Ассоциации больших данных (АБД) Ирина Левова. Она обратила внимание, что утечки не всегда возникают по вине компании: "Безвиновная ответственность, которая предусмотрена в редакции к первому чтению, может привести к закрытию ряда бизнесов в стране, что приведет очевидно к негативным последствиям".

В пояснительной записке к законопроекту сказано, что документ должен "стимулировать бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей". Ирина Левова считает, что стимулирующие меры должны быть направлены на другое, а именно на то, чтобы бизнес-объединение обменивалось опытом и принимало дополнительные механизмы защиты данных, которые будут учитываться судебными органами при назначении меры ответственности.

В качестве решений, смягчающих ответственность для компаний за утечку персональных данных, Ирина Левова предложила четыре механизма:

1. Учет последствий для нарушителя (учет финансового состояния нарушителя при назначении штрафа судом; и сдерживающего влияния на рынок)
2. Добровольные обязательства (введение механизма добровольного аудита, признание успешного прохождения такого аудита основанием для смягчения ответственности)
3. Оценка и аудит (разработка системы оценки в рамках добровольного аудита (основа - одобренные регулятором стандарты и методы сертификации, в том числе ISO)
4. Минимизация ущерба (использование добровольных механизмов минимизации ущерба субъектам - кодексы, отраслевые соглашения, лучшие практики и т.д.)

Позиция государства: "Казнить"

Минцифры РФ считает, что штрафы за утечку персональных данных должны быть значительно больше, чтобы бизнес был мотивирован инвестировать в защиту данных. 24 октября такое мнение выразил журналистам министр цифрового развития РФ Максут Шадаев. На вопрос корреспондента ComNews, какие штрафы должны быть за утечку персональных данных и за какой их объем, представитель пресс-службы Минцифры не ответил.

4 декабря 2023 г. сенаторы и депутаты внесли проект закона на рассмотрение в Государственную Думу, а 23 января 2024 г. чиновники приняли документ в первом чтении. "Принятые законопроекты вводят оборотные штрафы для компаний, допустивших утечку личной информации граждан. Они будут составлять до 3% от выручки. Кроме того, предусмотрена уголовная ответственность", - сказал председатель Госдумы Вячеслав Володин.

"За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн руб., юридических - до 15 млн руб. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы - до 10 лет. Справедливое наказание за преступление, которое может в буквальном смысле разрушить жизнь человека", - пояснил в январском сообщении Вячеслав Володин.

Мнение игроков рынка: "Помиловать"

Директор по аналитике АНО "Цифровая экономика" Карен Казарян считает, что организационные, технологические и административные требования по защите данных должны быть четко установлены и стандартизированы: "Необходимо, чтобы они были актуальны развитию технологий и оценке рисков, а также регулярно обновлялись. Для оценки рисков должны проводиться независимые аудиты. В данном случае при утечке данных нужно привлекать компании к ответственности за несоблюдение данных правил, не за сам факт утечки персональных данных. Механизмы, предложенные АБД, также подходят под эту логику".

Представитель пресс-службы ООО "Авито" рассказал, что компания согласна с предложениями АБД: "Более того, мы прорабатывали их вместе с ассоциацией. Действующие нормы КоАП предполагают учет смягчающих обстоятельств при правонарушениях. Однако в новом законопроекте указаны только обстоятельства, которые усиливают ответственность операторов за утечку данных, но не смягчают ее. Смягчающие факторы могли бы стимулировать операторов инвестировать в информационную безопасность и проводить аудиты, что поможет лучше защитить данные и снизить количество утечек".

Представитель пресс-службы ПАО "Мобильные ТелеСистемы" (МТС) сообщил корреспонденту ComNews, что МТС поддерживает позицию АБД и также считает необходимым определить на уровне закона меры, смягчающие ответственность бизнеса в случае возможных утечек данных: "Прежде всего, не должно быть безвиновной ответственности: то есть в случае, если оператор данных принял все необходимые меры для защиты данных, но при этом подвергся внешнему воздействию".

Бизнесу нужно время

Генеральный директор ООО "Датана" (Datananny) Иван Линдберг считает, что введение наказания за утечку персональных данных - в целом положительный шаг: "Компании начали нести бо‌льшую ответственность за обращение с данными клиентов. Однако обратная сторона - бизнес был не готов к такому, у многих инфраструктура сильно отстает от современных стандартов безопасности, а политики доступа к данным либо отсутствуют, либо соблюдаются халатно. Отсюда возникает парадокс, что закон есть, а данные продолжают утекать в сеть каждый день. Послабление наказания может расслабить всех, кто только стал ответственнее относиться к охране персональных данных, однако в введении моратория на наказание действительно есть смысл. Бизнесу нужно время, чтобы подстроиться, и вместо того, чтобы начинать платить штрафы, лучше эти деньги пустить на усиление инфраструктуры, а значит, сделать защиту персональных данных надежнее".

Данные о правообладателе фото и видеоматериалов взяты с сайта «ComNews.ru», подробнее в Правилах сервиса
Анализ
×
Вячеслав Викторович Володин
Последняя должность: Председатель (Государственная Дума Федерального Собрания Российской Федерации)
260
Максут Игоревич Шадаев
Последняя должность: Министр (МИНЦИФРЫ РОССИИ)
28
Карен Размикович Казарьян
Последняя должность: Генеральный директор (ООО "ИИИ")
1
Левова Ирина
Линдберг Иван