В России завершена работа над законопроектом, который вводит оборотные штрафы до 500 млн рублей за утечку персональных данных граждан. Профильные регуляторы утвердили документ, предусматривающий штрафы до 3% от общей выручки компании за инциденты информационной безопасности, связанные с нарушением конфиденциальной информации, сообщает РБК.
Авторами законопроекта являются сенаторы Ирина Рукавишникова, Андрей Турчак и депутат Госдумы РФ Александр Хинштейн. Они уже направили окончательную версию документа главе правительства Михаилу Мишустину. Представленные поправки предполагают внесение изменений в Кодекс об административных правонарушениях РФ.
Согласно новым поправкам:
- если утечка данных затрагивает от 1 тыс. до 10 тыс. субъектов персональных данных, юридические лица могут быть оштрафованы на сумму от 3 до 5 млн руб.;
- в случае утечки информации, затрагивающей от 10 тыс. до 100 тыс. субъектов ПДн, штраф увеличивается до 5-10 млн руб.;
- при утечке данных свыше 100 тыс. субъектов ПДн, размер штрафа будет варьироваться от 10 до 15 млн руб.
Если же компания допускает повторное нарушение, несмотря на объем утекших данных (но не менее 1 тыс. субъектов ПДн), на нее может быть наложен штраф от 0,1 до 3% от выручки за последний календарный год, предшествовавший нарушению, или же за часть текущего года, но не менее 15 млн и не более 500 млн руб.
Серьезные денежные штрафы, согласно поправкам, предусмотрены и за утечку биометрической информации граждан: в этом случае юридическое лицо может быть оштрафовано на сумму от 15 до 20 млн руб.
Дмитрий Давкин, начальник отдела ТЗКИ Cloud Networks, заявил: “С одной стороны, это прекрасная новость, свидетельствующая о том, что данная инициатива не пропала с радаров и вовсе не свернута – работа продолжается. В момент своего возникновения вопрос оборотных штрафов наделал массу шума и всерьез взбудоражил бизнес-сообщество, так как выглядел гораздо более устрашающе в сравнении с прочими рисками санкций, если рассматривать сложившуюся за прошлые годы практику. А далее продвижение законопроекта несколько затянулось и не получило ожидаемого динамичного развития, хотя одна из его основных целей заключалась в стимуляции организаций к усилению мер защиты обрабатываемых персональных данных.
Недооценивать роль процессов обеспечения безопасности личных данных граждан, особенно сейчас, когда бурно развивается не только индустрия ИБ, но и кибепреступность, совершенно недопустимо, — это один из наиболее важных аспектов. С другой стороны, пока это — очередная доработка и информирование о текущем статусе законопроекта. Мы видим, что уточнены некоторые положения, введена конкретика, а также сообщается, что доработанная версия начала свое движение и впереди у неё несколько шагов, о сроках реализации говорить пока сложно”.
Прокомментировал новость и Андрей Мишуков, генеральный директор iTPROTECT: “Во-первых, новые штрафы вполне могут быть выше, чем стоимость внедрения и поддержки средств защиты от утечек. Это особенно актуально для крупных организаций, которые накапливают большие массивы данных. Теперь у них будет дополнительный стимул правильно организовать защиту, чтобы не допустить утечек, избежать штрафов и снизить расходы.
Во-вторых, для некоторых крупных организаций утечки – обычный риск, на который они идут из-за некорректной обработки персональных данных, получая конкурентные преимущества или дополнительный заработок. Новые штрафы способствуют отказу от такого подхода, когда проще заплатить, чем внедрить защиту должного уровня.
В-третьих, эта инициатива несет изменения и для малого бизнеса, у которого работа построена частично на обработке ПДн, но который при этом не может позволить себе дорогостоящих средств защиты, и тем более крупные штрафы. Поэтому в перспективе нововведения могут привести к переделу рынка для малых компаний. Либо, например, может появиться облачное хранилище от крупной госкомпании, к которому будут подключаться небольшие компании или стартапы и за небольшую плату получать доступ к ПДн в облаке, а средства защиты будут обеспечиваться владельцами хранилища“.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
