Минцифры планирует снизить гигантские штрафы за утечку ПД

Курс на смягчение

Минцифры провело совещание, на котором разрабатывались поправки к Кодексу об административных правонарушениях, устанавливающих размеры штрафов за утечку персональных данных. В обсуждении законопроекта участвовали представители «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon, пишет «Коммерсант» со ссылкой на свои источники.

Речь идет о штрафах за утечку персональных данных в зависимости от оборота организации, в которой она произошла. В мае 2022 г. Минцифры согласовало законопроект, по которому компания должна уплатить 1% годовой выручки, если личная информация ее сотрудников или клиентов угодила в сеть. До 3% штраф мог дойти, если организация скрыла инцидент и не сообщила о нем Роскомнадзору в течение суток. Также организации должны были за три дня провести корпоративное расследование и отчитаться контрольному органу о проверке. В Госдуму законопроект внести не успели — авторы оставили себе на раздумья не менее шести месяцев до конца 2022 г.

Российскому крупному бизнесу угрожают огромные оборотные штрафы за утечку персональных данных

Источники издания сообщают, что регулятор предварительно пошел на уступки и разрешил не вводить штрафы после первого инцидента с утечкой данных. Сумма штрафов же может стать ниже 1% от оборота, однако решение еще не окончательное. За игру в прятки с Роскомнадзором наказывать тоже будут не так серьезно — над пакетом поправок сейчас работают представители бизнеса под руководством VK и «Ростелекома».

Чего хочет бизнес

Известно, что российские компании настаивают на трехступенчатой системе санкций за утечки ПД.

«Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение, — сообщил собеседник «Коммерсанта». — В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф».

Еще один из участников совещания заметил, что, учитывая не слишком благоприятную экономическую обстановку, перегибать с оборотными штрафами было бы неправильно. На смягчение законопроекта должны повлиять такие негативные факторы, как растущая инфляция, снижение доходов населения, нарушение цепочек поставок.

В то же время представители отрасли уверены, что наказание за утечку личной информации должно быть гибким. К примеру, штрафовать нужно не по факту инцидента, а за отсутствие мер профилактики. Такого мнения придерживается президент Ассоциации больших данных Анна Серебряникова, пишет «Коммерсант». Также она полагает, что сумма штрафа должна коррелировать с масштабом инцидента и ущерба, который злоумышленники причинили компании, ее сотрудникам и клиентам.

Преподаватель Moscow Digital School Олег Блинов полагает, что внедрение оборотных штрафов будет стимулировать компании больше тратиться на защиту информации и тем самым предотвращать новые утечки.

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров объяснил CNews, что сейчас и так фактически объявлен мораторий на привлечение компаний к ответственности за утечки ПД — из-за спецоперации России на Украине и связанным с ней ростом хакерских атак на отечественные компании. Однако мораторий касается лишь тех случаев, когда нет значительного финансового ущерба или утечек гостайны.

Борис Макевнин, «Т Плюс»: Нам удалось найти неплохие аналоги практически всех иностранных ИТ-решений Импортозамещение

«Но мы понимаем, что СВО продолжается, а с ней и хакерские атаки, возможно, их будет даже больше, — предупредил эксперт. — Курс Минцифры на смягчение наказание продиктован необходимостью защиты своих близких ИТ-компаний, из которых чаще утекают данные. Впрочем, прогрессивную шкалу штрафа, которую предлагали ранее, легко можно было обойти. Мы предполагали, что компании не будут заявлять об утечках, а начнут рассчитываться со взломщиками своими средствами — это было бы дешевле, чем платить штраф государству. Или же крупный бизнес мог заводить отдельные компании для обработки ПД с небольшим оборотом, чтобы те в случае чего платили штрафы».

Как штрафуют сейчас

Согласно ст. 13.11 КоАП, сейчас первая утечка персональных данных обойдется компании в сумму от 60 тыс. руб. до 100 тыс. руб. За вторую и последующие утечки — 500 тыс. руб. Эксперты называли такой подход излишне мягким, отмечая, что он не мотивирует компании тратиться на усиление защиты своих ресурсов.

В феврале 2022 г. Минцифры озадачилось вопросом введения крупных оборотных штрафов, а в апреле 2022 г. глава министерства Максут Шадаев заявил, что регулятор совместно с Роскомнадзором выступят с законодательной инициативой об ужесточении наказания.

О необходимости строгих мер в России заговорили на фоне скандальных утечек информации. Так, 1 марта 2022 г. «Яндекс.еда» сообщила об утечке номеров телефонов 58 тыс. клиентов и данных об их заказах — виноватым оказался один из сотрудников. В сети оказались даже персональные данные сотрудников спецслужб, которые заказывали доставку на Лубянку. Уже 33 клиента сервиса обратились с заявлением в Замоскворецкий районный суд с требованием присудить компенсацию в 100 тыс. руб. всем пострадавшим. Роскомнадзор же оштрафовал компанию на 60 тыс. рублей.

4 уровня управления: как происходит цифровая трансформация в экосистемной компании Цифровизация

В начале мая 2022 г. в сеть выложили информацию о 30 млн клиентов сети лабораторий «Гемотест». 20 мая Delivery Club заявила, что в открытый доступ попала база данных сотрудников из 350 млн строк. С мая по июнь 2022 г. специалисты Group-IB зафиксировали рекордное количество баз данных российских компаний в даркнете — 50. Общее количество строк наиболее крупных утечек за этот период составило 616,6 млн строк.

В июне 2022 г. экс-сотрудник «Ростелекома» слил в сеть персональные данные ста тысяч коллег.