Оборотные штрафы для компаний за утечки персональных данных могут смягчить
📣 В мае стало известно, что Минцифры решило всерьез наказывать компании за утечки персональных данных, которых с начала 2022 года было зафиксировано довольно много. Штрафы за это сейчас составляют несколько десятков тысяч рублей — сумма, неощутимая для крупной компании, и на порядки меньшая, чем требуется на налаживание защиты, достаточной для безопасного хранения персональных данных.
👉 Госдума 6 июня приняла закон, по которому компания в случае утечки обязана в течение 24 часов сообщить о случившемся в Роскомнадзор, а в течение 72 часов доложить о результатах расследования и виновниках инцидента. За нарушение этой нормы Минцифры предложило ввести штраф в размере 1-3% процентов от оборота компаний. Это — существенное наказание, и оно делает выгодной работу по усилению информационной безопасности организации и не оставляет компании выхода, кроме как предать произошедшее огласке.
❌️ Однако представители бизнес-сообщества такой мере не рады. Компании считают, что она ухудшит условия ведения бизнеса. По данным «Ъ», в ходе встречи в Минцифры, на которой присутствовали представители «Ростелекома», МТС, «Авито», «Яндекса», Ozon, «Вымпелкома», VK и других компаний, меры, которые планируется применять к нарушителям Закона о персональных данных, стали гораздо мягче:
🔹️ за первую утечку наказывать не будут, компания просто получит предупреждение
🔹️ за второй инцидент будет назначаться крупный штраф
🔹️третий и последующие случаи компрометации персональных данных клиентов будут наказаны оборотным штрафом
🔹️ обсуждается снижение размера оборотного штрафа, он может составить до 1%
Бизнес обосновал свою позицию тем, что наказывать надо не за саму утечку, а за отсутствие мер по предотвращению подобных инцидентов. Однако 152-ФЗ «О персональных данных» регламентирует правила хранения и обработки личной информации. Ответственность за неправомерный доступ к компьютерной информации описана в ст. 272 УК РФ. Если компания не соблюдает закон, то почему она должна избежать наказания?
Попытку утаить утечку от Роскомнадзора и клиентов нужно рассматривать как отягчающее обстоятельство: это может существенно навредить гражданам, доверившим персональные данные компании, недобросовестно исполняющей закон.
Предложение крупных игроков рынка оставляет простор для ухода компаний от ответственности за небрежное обращение с персональными данными: сначала они не заплатят штраф за первый инцидент, затем окажется, что у второго события совершенно другой механизм, и поэтому оно как бы первое, и так далее.
❗️Эксперты ЗПЗ уже подчеркивали: чтобы норма была эффективной, необходимо законодательно определить, что такое утечка персональных данных и кто именно будет классифицировать инциденты для определения размера штрафа.
