Оборотные штрафы за утечки данных наложат на бизнес лишь при повторных нарушениях
Лента новостей
Законопроект об оборотных штрафах за утечку данных принят в двух палатах парламента и отправлен на подпись президенту. Штрафы увеличились, введена разная ответственность за разный масштаб утечек, но смягчение для бизнеса в итоговом документе все же произошло: оборотные штрафы накладываются только в случае рецидива
Для бизнеса все же появятся оборотные штрафы за утечки данных. Но только в случае повторных нарушений. В целом же — штрафы увеличиваются, появились и разные степени масштаба утечек. Законопроекты приняты в Госдуме и Совфеде, теперь они поступят на подпись президенту. Как их воспринял бизнес?
Законодатели учли опасения бизнеса и несколько смягчили новые меры — штрафы от 1% до 3% годового оборота будут только в случае повторной утечки персональных данных. Если компания допустит утечку данных от тысячи до 10 тысяч пользователей, ей будет грозить штраф от 3 млн до 5 млн рублей. При сливе уже полноценной базы с данными, от 10 тысяч до 100 тысяч пользователей — штраф составит от 5 млн до 10 млн рублей. Если в базе 100 тысяч пользователей и больше — штраф вырастет до 15 млн. Можно заметить, что за скобки вынесены утечки, где менее одной тысячи пользователей, — тогда их как бы и не было.
Также вводится штраф до 2 млн рублей — за нарушения при обработке биометрии. За утечку медицинских данных штраф — до 15 млн. Можно сделать вывод, что основные риски будут нести операторы больших баз данных, агрегаторы, в том числе туристические агентства, говорит вице-президент Российского союза туриндустрии, основатель юридического агентства «Персона Грата» Георгий Мохов:
Георгий Мохов вице-президент Российского союза туриндустрии, основатель юридического агентства «Персона Грата» «Даже такие условия, с введением оборотного штрафа только за повторное правонарушение, все равно являются достаточно жесткими для определенных видов бизнеса, где обрабатываются большие массивы персональных данных, например в сфере туризма, когда бронируется множество билетов, десятки тысяч записей по персональным данным обрабатываются, а утечка происходит ввиду хакерских атак, криминальных действий, то есть не по вине самого предприятия. А в сфере туризма передаются данные для бронирования билетов, гостиниц, экскурсий, иногда передаются через несколько организаций, бывает в цепочке до пяти разного рода информационных систем, утечка может произойти не по вине даже того, кто изначально направлял куда-то персональные данные туриста. Государству со своей стороны, если они вводят такого рода санкции, необходимо предусмотреть субсидии на возмещение затрат на повышение этой информационной защищенности разного рода информационных ресурсов».
Основной вопрос — как регулятор и суды будут определять, кто в итоге виновен в утечке — особенно если пересылок данных было много, — пока остается без ответа. Опрошенный редакцией бизнес говорил, что начнет консультации с юристами по этому вопросу. Иногда хакеры, когда продают взломанные базы данных, сами указывают, кто стал «донором», однако так происходит далеко не всегда. Есть некоторые косвенные признаки, на которые опирается РКН, например, данные о турпутевке вряд ли могли утечь из маникюрного салона. Мы постоянно слышим о том, как компании обещают выяснить все обстоятельства утечек, но никогда не слышим о результатах этих расследований. Однако они есть, уверен эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:
— Компания внутри себя реально знает, откуда ушло, кто конкретно слил информацию, через что взломали, чья это была ошибка, как ее в дальнейшем не допустить. Все это есть. Но, к сожалению, эта информация не публикуется. То есть, у нас пока еще в культуре не принято сообщать о результатах расследования.
— Может быть, небольшому бизнесу, допустим, выгоднее заплатить один раз штраф 15 млн, чем тратить огромные средства, создавать какую-то инфраструктуру?
— Касательно малого бизнеса: там как раз есть градация в самом законе. Они, по-моему, не проходят даже по нижнему порогу. Нижний порог, по-моему, тысяча, вот насколько я помню, то есть, если у вас до тысячи человек утекло, как будто бы ничего и не случилось серьезного. При этом средний и малый бизнес часто используют различные внешние сервисы как раз для того, чтобы там были данные их пользователей. Таким образом, они в какой-то степени перекладывают ответственность на того, кто хранит эти данные. Тогда уже, скорее всего, будет к нему вопрос, если будет какая-то утечка.
Юристы уверены, что после вступления закона в силу Роскомнадзор в первую очередь сосредоточится на взыскании штрафов с крупных компаний и агрегаторов данных — но в целом законопроект можно расценивать как сигнал всему рынку, что пора с массовыми утечками что-то делать. Хотя технически, конечно, все наши данные в интернете есть уже давно — здесь законодатели сильно не поспевают за реальностью.