Утечки данных дорого обойдутся бизнесу

По информации источников издания «КоммерсантЪ», Минцифры 26 мая обсуждали законодательные инициативы по ужесточению ответственности организаций и физлиц за утечки данных, а также за последующее их распространение. Неназываемые источники «Ъ», близкие к обсуждению, рассказали о том, что законопроект близится к завершению. Уже на этой неделе он может быть рассмотрен в Госдуме.

Предполагается, что юридические лица, допустившие утечку клиентских  персональных данных, обязаны будут платить штрафы в размере 1% от годового оборота. А в тех случаях, когда организация не уведомила Роскомнадзор о свершившейся утечке в течение суток, штраф может увеличиться до 3% от оборота компании.

Идея о подготовке законопроекта, предполагающего введение оборотных штрафов компаниям, допустившим утечку персональных данных, озвучивалась 22 февраля. Оперативность подготовки законопроекта может быть связана с большим количеством крупных сливов данных за последние месяцы. При этом в марте, когда в общественном доступе оказались персональные данные пользователей сервиса «Яндекс.Еда», штраф Роскомнадзора составил всего 60 тыс. рублей. На данный момент штраф для юрлиц в подобных обстоятельствах составляет до 100 тыс. рублей, исходя из КоАП РФ.

Позже, в мае, злоумышленниками были выложены в сеть данные 30 млн клиентов сети лабораторий «Гемотест», а также были слиты данные клиентов компании Delivery Club.

Введение штрафов за утечки персональных данных в процентах от оборота, а не в твердой сумме, одобряет комитет Госдумы по информполитике. Глава комитета Александр Хинштейн уверен, что штрафы порядка шестидесяти тысяч рублей для такой компании, как«Яндекс.Еда», не смогут замотивировать крупный бизнес вкладывать средства в защиту данных. Только в случаях, когда размер штрафа будет высчитываться от оборота фирмы, крупным организациям станет более выгодно инвестировать в защиту данных, нежели время от времени платить штрафы.

Ранее Роскомнадзор высказывался также с предложением введения уголовной ответственности за участие в операциях по продаже или покупке персональных данных на черных рынках, однако уголовная ответственность за кражу данных посредством хакерских операций уже существует.

В текущих реалиях обрабатывать персональные данные приходится не только бизнес-гигантам – любая организация осуществляет операции с личной информацией – это и базы контрагентов, и ведение кадрового делопроизводства. Организации с небольшим количеством персонала и оборота, как правило, реже готовы вкладываться в цифровую безопасность. Однако, если у компании не установлены системы защиты, расследование по горячим следам провести практически невозможно, так как даже о самом факте утечки становится известно уже из СМИ – поясняют эксперты. Чтобы оперативно обнаружить, что произошел слив данных, компании необходимо устанавливать определенное программное обеспечение, с помощью которого в дальнейшем можно расследовать инцидент.

В Европе уже давно действуют меры регулирования General Data Protection Regulation, по аналогии с которыми сейчас выстраивается законопроект об оборотных штрафах. Несмотря на то, что принципы схожи, в России проблема упирается в отсутствие определения такого события как утечка данных в законодательстве. Кроме того, отмечают эксперты, нет понимания, кто будет ответственен за подтверждение и классификацию каждого конкретного случая.