Минцифры РФ планирует внести изменения в законопроект о введении оборотных штрафов для операторов персональных данных, допустивших утечку личной информации граждан. Обсуждается возможность уменьшения размера штрафа или полное его исключение, если организация столкнулась с таким инцидентом безопасности впервые, сообщает «Коммерсантъ».
Источник в министерстве уточняет, что 7 июля в Минцифры РФ было проведено совещание с участием представителей крупных российских IT-компаний («Озон», «Вымпелком», «Яндекс», Avito, МТС, VK и других). В рамках встречи обсуждался вопрос размера штрафов для организаций за утечку личных данных в зависимости от их оборота.
Ещё в мае этого года Минцифры РФ согласовало проект закона, в рамках которого будут введены штрафы в размере 1% или 3% от годовой выручки, если оператор ПДн своевременно не уведомит Роскомнадзор об утечке.
6 июня Государственная дума приняла в окончательном чтении поправки к законодательству «О персональных данных», вводящие обязанность для всех компаний уведомлять РКН об утечках персональных данных в течение 24 часов после обнаружения инцидента, а в течение 72 часов направлять в ведомство результаты внутренней проверки.
По словам источников издания «Коммерсантъ», которые участвовали в совещании, представители Минцифры РФ подтвердили своё согласие не штрафовать российские компании за первую обнаруженную утечку персональных данных. Уточняется, что в ведомстве ещё согласились на уменьшение размера штрафа за утечку данных ниже 1% годового оборота, но этот вопрос ещё находится на стадии обсуждения. Разговор во время встречи шёл и о том, что необходимо сделать меньше штраф, если компания утаивает от Роскомнадзора факт утечки данных.
В Минцифры РФ потребовали от бизнеса (под руководством компаний VK и Ростелеком) в течение 14 дней представить предложения по поправкам к проекту закона.
"Введение оборотных штрафов напрашивалось уже давно. Например, в Евросоюзе за нарушение GDPR (европейский аналог ФЗ-152) оборотные штрафы были предусмотрены с самого начала. На мой взгляд, это настраивает на серьезный подход к обеспечению защиты персональных данных. До последнего времени размер штрафов за утечку ПДн в России был меньше стоимости выполнения законодательства, не считая репутационных издержек. Тем временем, защита личной информации субъектов - это важный процесс, в котором не должно быть утечек.
Предлагаемые поправки по уменьшению размера штрафа или полному его исключению «для первого раза», думаю, можно рассматривать как вариант поддержки бизнеса на фоне возросшей инфляции, а также мерой поощрения за факт оперативного сообщения об утечке в Роскомнадзор. Насколько это будет эффективным – покажет время", — прокомментировал инициативу Минцифры РФ Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.
"В этом законопроекте прекрасно всё: и признание компаниями утечек, и штрафы. Согласно законопроекту, компания должна уведомить об утечке РКН в течение 24 часов, а также в течение 72 часов направить в ведомство результаты внутренней проверки. Какой момент времени должен быть принят за точку отсчета?
Предоставив послабление для тех компаний, которые впервые столкнулись с таким инцидентом, мы получим в итоге то, что никто не понесёт ответственность за утечку данных.
Что происходит дальше с данными, как и кто ими воспользуется, — это так и останется вектором атак на тех, кто эту информацию предоставил.
Следует определить, что считается фактом утечки:
- сотрудник слил базу персональных данных;
- результат внешней атаки;
- утеря носителя с персональными данными и т.д.
Всегда смущает в этих громких историях одно - ни одна компания не принесла извинения перед своими пользователями/клиентами за утечку. Чего нет в этом законопроекте – не учитываются интересы пользователя/клиента. Штрафы, скорее всего, пойдут в федеральный бюджет, а пользователь/клиент не получит никакой компенсации. Тут, я полагаю, нужно «пугать» ответственностью не перед органами власти, а перед каждым пользователем/клиентом, чьи данные утекли. Тогда, может быть, что-то и получится", — отметил Яков Ставринов, коммерческий директор IT-Task.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
