Ассоциация больших данных поддержала позицию Минэкономразвития о снижении размера потенциальных штрафов и ответственности для бизнеса за утечки персональных данных. Ассоциация предложила механизмы, смягчающие ответственность для компаний.
25 октября на Евразийском конгрессе по защите данных выступила директор по стратегическим проектам Ассоциации больших данных (АБД) Ирина Левова. Она обратила внимание, что утечки не всегда возникают по вине компании: "Безвиновная ответственность, которая предусмотрена в редакции к первому чтению, может привести к закрытию ряда бизнесов в стране, что приведет очевидно к негативным последствиям".
В качестве решений, смягчающих ответственность для компаний за утечку персональных данных, Ирина Левова предложила четыре механизма:
1. Учет последствий для нарушителя (учет финансового состояния нарушителя при назначении штрафа судом; и сдерживающего влияния на рынок)
2. Добровольные обязательства (введение механизма добровольного аудита, признание успешного прохождения такого аудита основанием для смягчения ответственности)
3. Оценка и аудит (разработка системы оценки в рамках добровольного аудита (основа - одобренные регулятором стандарты и методы сертификации, в том числе ISO)
4. Минимизация ущерба (использование добровольных механизмов минимизации ущерба субъектам - кодексы, отраслевые соглашения, лучшие практики и т.д.)
Позиция государства: "Казнить"
Минцифры РФ считает, что штрафы за утечку персональных данных должны быть значительно больше, чтобы бизнес был мотивирован инвестировать в защиту данных. 24 октября такое мнение выразил журналистам министр цифрового развития РФ Максут Шадаев. На вопрос корреспондента ComNews, какие штрафы должны быть за утечку персональных данных и за какой их объем, представитель пресс-службы Минцифры не ответил.
4 декабря 2023 г. сенаторы и депутаты внесли проект закона на рассмотрение в Государственную Думу, а 23 января 2024 г. чиновники приняли документ в первом чтении. "Принятые законопроекты вводят оборотные штрафы для компаний, допустивших утечку личной информации граждан. Они будут составлять до 3% от выручки. Кроме того, предусмотрена уголовная ответственность", - сказал председатель Госдумы Вячеслав Володин.
"За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн руб., юридических - до 15 млн руб. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы - до 10 лет. Справедливое наказание за преступление, которое может в буквальном смысле разрушить жизнь человека", - пояснил в январском сообщении Вячеслав Володин.
Мнение игроков рынка: "Помиловать"
Директор по аналитике АНО "Цифровая экономика" Карен Казарян считает, что организационные, технологические и административные требования по защите данных должны быть четко установлены и стандартизированы: "Необходимо, чтобы они были актуальны развитию технологий и оценке рисков, а также регулярно обновлялись. Для оценки рисков должны проводиться независимые аудиты. В данном случае при утечке данных нужно привлекать компании к ответственности за несоблюдение данных правил, не за сам факт утечки персональных данных. Механизмы, предложенные АБД, также подходят под эту логику".
Представитель пресс-службы ООО "Авито" рассказал, что компания согласна с предложениями АБД: "Более того, мы прорабатывали их вместе с ассоциацией. Действующие нормы КоАП предполагают учет смягчающих обстоятельств при правонарушениях. Однако в новом законопроекте указаны только обстоятельства, которые усиливают ответственность операторов за утечку данных, но не смягчают ее. Смягчающие факторы могли бы стимулировать операторов инвестировать в информационную безопасность и проводить аудиты, что поможет лучше защитить данные и снизить количество утечек".
Представитель пресс-службы ПАО "Мобильные ТелеСистемы" (МТС) сообщил корреспонденту ComNews, что МТС поддерживает позицию АБД и также считает необходимым определить на уровне закона меры, смягчающие ответственность бизнеса в случае возможных утечек данных: "Прежде всего, не должно быть безвиновной ответственности: то есть в случае, если оператор данных принял все необходимые меры для защиты данных, но при этом подвергся внешнему воздействию".
Бизнесу нужно время
Генеральный директор ООО "Датана" (Datananny) Иван Линдберг считает, что введение наказания за утечку персональных данных - в целом положительный шаг: "Компании начали нести большую ответственность за обращение с данными клиентов. Однако обратная сторона - бизнес был не готов к такому, у многих инфраструктура сильно отстает от современных стандартов безопасности, а политики доступа к данным либо отсутствуют, либо соблюдаются халатно. Отсюда возникает парадокс, что закон есть, а данные продолжают утекать в сеть каждый день. Послабление наказания может расслабить всех, кто только стал ответственнее относиться к охране персональных данных, однако в введении моратория на наказание действительно есть смысл. Бизнесу нужно время, чтобы подстроиться, и вместо того, чтобы начинать платить штрафы, лучше эти деньги пустить на усиление инфраструктуры, а значит, сделать защиту персональных данных надежнее".