Оборотные штрафы: что ждет коммерческие и госкомпании

Рассмотрим в статье грядущие изменения в наказаниях за утечки и порассуждаем вместе с безопасниками "Максофт", чем это все грозит простым руководителям IT-отделов.

Что государство нам готовит

На рассмотрении в Госдуме четыре законопроекта. Два из них посвящены учреждению тех самых оборотных штрафов за утечки персональных данных. Предполагается, что штрафы могут составить до 500 млн рублей, а максимальное наказание — лишение свободы на срок до пяти лет. Этот законопроект уже принят в первом чтении в начале января 2024-го.

Третий законопроект прошел этап третьего чтения, в нем учреждение новой статьи в КоАП. Она регламентирует наказание за нарушения в области хранения биометрических данных в виде штрафа размером до 1 млн рублей.

Еще в одном законопроекте прописано появление новой статьи об обезличивании персональных данных.

Виновных в утечке персональных данных ждут не только штрафы. По инициативе Минцифры, их обяжут компенсировать вред пострадавшим. Как только поправки вступят в силу, уведомления об утечках владельца персональных данных будут обязательны, и у субъекта появится право получить компенсацию.

Почему ужесточение законов — неизбежная мера

Важность готовящихся законопроектов подсветила история с утечкой из компании "Гемотест". В конце 2023 года произошел крупный инцидент: медицинская организация упустила 300 ГБ персональных данных, где были и имена, и даты рождения, адреса, номера телефонов и почтовые ящики, а также паспортные данные и состав заказов в компании.
Утечка была зафиксирована, началось судебное разбирательство, которое окончилось наложением штрафа в жалкие 60 тысяч рублей. Как думаете, будет ли "Гемотест" стремится защищать данные своих клиентов, используя современные дорогостоящие средства защиты, когда наказание — такие мизерные суммы?
Угроза крупного штрафа или более того — лишения свободы заставит предпринимателей приобретать средства защиты.

Однако пока непонятно, как этот закон будет реализован. Российские компании пока следуют своему любимому принципу: “пока гром не грянет…”, а это значит, все в ожидании правоприменительной практики или показательной порки, которая и сподвигнет к активным действиям.Руководитель отдела информационной безопасности Максофт Антон Морозов.

Вопросы к новому закону об оборотных штрафах

Есть несколько нюансов, которые хотелось бы подсветить в связи с предписаниями законопроекта.

• Крупные организации с большим количеством персональных данных и бюджетом смогут противостоять злоумышленникам с помощью современных средство защиты, да и крупный штраф выплатить им под силу. А вот малому и среднему бизнесу придется непросто, если не будет конкретизации утечек. Например, туристический бизнес, который сейчас уже испытывает сложности, при потере части клиентской базы может просто не справиться с санкционной нагрузкой. Это значит, что нужно детализировать подход к наложению штрафа.
• Как показывает практика, любое ужесточение закона приводит в тому, что бизнес еще больше погружается в тень. Государство хочет побудить предпринимателей ответственнее относиться к хранению информации, а в действительности компании начнут искать лазейки, скрывать персональные данные, уходить от объявления себя оператором, не сообщать в Роскомнадзор и так далее.
• Должно быть пересмотрено финансирование государственных учреждений, которые получают средства из бюджета. Гигантские штрафы, наложенные на больницы, школы или вузы, вряд ли будут действенны в отношении госкомпаний.

В связи с этим есть уверенность, что после принятия закона он будет неоднократно дорабатываться, основываясь на правоприменительной практике.