Администрация Президента России не одобрила поправки ко второму чтению проекта закона об оборотных штрафах за утечки персональных данных, которые ранее были разработаны Министерством цифрового развития РФ. В рамках изменений планировалось смягчить наказание для компаний, которые допустили утечку данных, но соблюдали определённые условия, сообщает «Коммерсант».
Как рассказали журналисты, государственное правовое управление Президента России в начале этого месяца подготовило отрицательный отзыв на поправки ко второму чтению проекта закона об оборотных штрафах за утечки персональных данных. Соответствующий документ был направлен в аппарат президента ещё в марте этого года.
В рамках этих поправок планировалось добавить смягчающие обстоятельства для организаций, допустивших утечки: выделение 0,1% оборотных средств на информационную безопасность, выплата денежных компенсаций пострадавшим, соответствие требованиям законодательства «О персональных данных». Предполагалось, что в том случае, если организация соблюдает все указанные выше условия, то штраф за утечку персональных данных будет назначаться ей по нижней границе.
Инициатива, связанная с выделением определённого процента от оборотных средств на информационную безопасность, в управлении администрации президента поддержки не нашла. Помимо этого, установление идентификатора, позволяющего определить размер утечки персональных данных, как заявили в ведомстве, необходимо указывать в законодательстве «О персональных данных», а не в кодексе об административных правонарушениях, как указано в проекте закона в сейчас. Кроме того, компенсации должны назначаться судом.
Помимо этого, в отзыве аппарата президента сказано, что состав правонарушения требуется чётко определить, потому как на данный момент в проекте закона он описан как «действие или бездействие лица, повлекшее неправомерную передачу информации».
По словам Игоря Баранова, преподавателя АИС, адвоката, ведущего эксперта по проверкам правоохранительными органами субъектов предпринимательской деятельности, такая позиция АП является вполне обоснованной, отражает интересы отрасли, и поможет оградить компании от злоупотреблений.
“В начале апреля государственно-правовое управление администрации президента (АП) составило отрицательный отзыв на смягчающие ко второму чтению поправки законопроекта об оборотных штрафах за утечки перcональных данных.
Изменения, разработанные при участии Минцифры, предусматривали дифференциацию штрафов для компаний с разным уровнем вложений в кибербезопасность. Если фирма инвестирует 0,1% оборотных средств в защиту от кибератак, выплачивает компенсации пострадавшим от утечек и выполняет требования закона о персональных данных, то штраф для нее предлагалось устанавливать только по нижней границе”, — отметил эксперт.
По словам Игоря Баранова, администрация президента не согласилась с идеей фактически установить обязательный размер вложений в кибербезопасность и посчитала, что компенсации пострадавшим должен назначать только суд. Кроме того, в управлении добавили, что в итоговом законе нужно четко определить состав правонарушения. Сейчас он прописан как “действие или бездействие лица, повлекшее неправомерную передачу информации”, что является крайне общим понятием.
В Ассоциации больших данных (АБД – в нее входят “Сбер”, МТС, “Яндекс” и др.) согласились с АП и считают, что в законе нужна четкая формулировка состава правонарушения. Механизм компенсаций пострадавшим также вызвал вопросы в организации, так как несет риски злоупотреблений. При этом, по мнению АБД, смягчающие обстоятельства для компаний, которые вкладываются в кибербезопасность, все таки должны быть в итоговой версии.
“Очевидно, что организация безопасности персональных данных пока не находится на высоком и должном уровне у российского бизнеса. Принятие законопроекта и назначение оборотных штрафов компаниям может сказаться на работоспособности всей отрасли, что думаю понимают в АП. Поэтому предложения, изложенные в отзыве, носят больше технический характер и направлены на более четкое определение оснований для назначения компаниям штрафов, что нельзя рассматривать как послабления или смягчение ответственности”, — заявил преподаватель АИС.
Специалист уверен, что такая позиция АП является вполне обоснованной, отражает интересы отрасли, поможет оградить компании от злоупотреблений. С другой стороны, стоит учитывать, что в первом квартале 2024 в сеть утекло в пять раз больше ПДн, чем в том же периоде 2023 года, причем 70% случаев произошло в финорганизациях, что говорит о недостаточности принимаемых бизнесом мер по обеспечению инфобезопасности.
“Многие крупные операторы данных вместо повышения защиты уже сейчас передают вопросы инфобезопасности на аутсорсинг, а также принимают другие меры, чтобы в перспективе уйти от ответственности за утечки данных. Считаю, что законодателю стоит обратить внимание на действия компаний, которые затруднят применение будущего закона об оборотных штрафах и внести соответствующие изменения в проект для устранения возможности ухода от ответственности”, — резюмировал эксперт.
Оригинал публикации на сайте CISOCLUB: "Администрация президента не одобрила поправки к законопроекту об оборотных штрафах за утечки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
