Утечки данных дорого обойдутся бизнесу

30.05.2022 |

Елизавета Клейн.

В ближайшем времени в Госдуму будет внесен законопроект о введении оборотных штрафов для бизнеса в случае утечки персональных данных. Размер штрафа может составить от 1% до 3%, в зависимости от того, успела компания уведомить Роскомнадзор об инциденте в течение суток, или нет. Избежать штрафов возможно, только максимально усилив защиту персональных данных, что потребует от организаций дополнительных вложений. Эксперты акцентируют внимание на том, что для функционирования законодательства по теме утечки данных необходимо сначала внести нормативное определение данного понятия.

По информации источников издания «КоммерсантЪ», Минцифры 26 мая обсуждали законодательные инициативы по ужесточению ответственности организаций и физлиц за утечки данных, а также за последующее их распространение. Неназываемые источники «Ъ», близкие к обсуждению, рассказали о том, что законопроект близится к завершению. Уже на этой неделе он может быть рассмотрен в Госдуме.

Предполагается, что юридические лица, допустившие утечку клиентских персональных данных, обязаны будут платить штрафы в размере 1% от годового оборота. А в тех случаях, когда организация не уведомила Роскомнадзор о свершившейся утечке в течение суток, штраф может увеличиться до 3% от оборота компании.

Идея о подготовке законопроекта, предполагающего введение оборотных штрафов компаниям, допустившим утечку персональных данных, озвучивалась 22 февраля. Оперативность подготовки законопроекта может быть связана с большим количеством крупных сливов данных за последние месяцы. При этом в марте, когда в общественном доступе оказались персональные данные пользователей сервиса «Яндекс.Еда», штраф Роскомнадзора составил всего 60 тыс. рублей. На данный момент штраф для юрлиц в подобных обстоятельствах составляет до 100 тыс. рублей, исходя из КоАП РФ.

Позже, в мае, злоумышленниками были выложены в сеть данные 30 млн клиентов сети лабораторий «Гемотест», а также были слиты данные клиентов компании Delivery Club.

Введение штрафов за утечки персональных данных в процентах от оборота, а не в твердой сумме, одобряет комитет Госдумы по информполитике. Глава комитета Александр Хинштейн уверен, что штрафы порядка шестидесяти тысяч рублей для такой компании, как«Яндекс.Еда», не смогут замотивировать крупный бизнес вкладывать средства в защиту данных. Только в случаях, когда размер штрафа будет высчитываться от оборота фирмы, крупным организациям станет более выгодно инвестировать в защиту данных, нежели время от времени платить штрафы.

Ранее Роскомнадзор высказывался также с предложением введения уголовной ответственности за участие в операциях по продаже или покупке персональных данных на черных рынках, однако уголовная ответственность за кражу данных посредством хакерских операций уже существует.

В текущих реалиях обрабатывать персональные данные приходится не только бизнес-гигантам – любая организация осуществляет операции с личной информацией – это и базы контрагентов, и ведение кадрового делопроизводства. Организации с небольшим количеством персонала и оборота, как правило, реже готовы вкладываться в цифровую безопасность. Однако, если у компании не установлены системы защиты, расследование по горячим следам провести практически невозможно, так как даже о самом факте утечки становится известно уже из СМИ – поясняют эксперты. Чтобы оперативно обнаружить, что произошел слив данных, компании необходимо устанавливать определенное программное обеспечение, с помощью которого в дальнейшем можно расследовать инцидент.

В Европе уже давно действуют меры регулирования General Data Protection Regulation, по аналогии с которыми сейчас выстраивается законопроект об оборотных штрафах. Несмотря на то, что принципы схожи, в России проблема упирается в отсутствие определения такого события как утечка данных в законодательстве. Кроме того, отмечают эксперты, нет понимания, кто будет ответственен за подтверждение и классификацию каждого конкретного случая.