Наказание компаний за первую утечку персональных данных могут смягчить

Дата: 11.07.2022. Автор: Артем П. Категории: Новости по информационной безопасности
Наказание компаний за первую утечку персональных данных могут смягчить
Изображение: kate.sade (unsplash)

Минцифры РФ планирует внести изменения в законопроект о введении оборотных штрафов для операторов персональных данных, допустивших утечку личной информации граждан. Обсуждается возможность уменьшения размера штрафа или полное его исключение, если организация столкнулась с таким инцидентом безопасности впервые, сообщает «Коммерсантъ».

Источник в министерстве уточняет, что 7 июля в Минцифры РФ было проведено совещание с участием представителей крупных российских IT-компаний («Озон», «Вымпелком», «Яндекс», Avito, МТС, VK и других). В рамках встречи обсуждался вопрос размера штрафов для организаций за утечку личных данных в зависимости от их оборота.

Ещё в мае этого года Минцифры РФ согласовало проект закона, в рамках которого будут введены штрафы в размере 1% или 3% от годовой выручки, если оператор ПДн своевременно не уведомит Роскомнадзор об утечке.

6 июня Государственная дума приняла в окончательном чтении поправки к законодательству «О персональных данных», вводящие обязанность для всех компаний уведомлять РКН об утечках персональных данных в течение 24 часов после обнаружения инцидента, а в течение 72 часов направлять в ведомство результаты внутренней проверки.

По словам источников издания «Коммерсантъ», которые участвовали в совещании, представители Минцифры РФ подтвердили своё согласие не штрафовать российские компании за первую обнаруженную утечку персональных данных. Уточняется, что в ведомстве ещё согласились на уменьшение размера штрафа за утечку данных ниже 1% годового оборота, но этот вопрос ещё находится на стадии обсуждения. Разговор во время встречи шёл и о том, что необходимо сделать меньше штраф, если компания утаила от Роскомнадзора факт утечки данных.

В Минцифры РФ потребовали от бизнеса (под руководством компаний VK и Ростелеком) в течение 14 дней представить предложения по поправкам к проекту закона.

«Введение оборотных штрафов напрашивалось уже давно. Например, в Евросоюзе за нарушение GDPR (европейский аналог ФЗ-152) оборотные штрафы были предусмотрены с самого начала. На мой взгляд, это настраивает на серьезный подход к обеспечению защиты персональных данных. До последнего времени размер штрафов за утечку ПДн в России был меньше стоимости выполнения законодательства, не считая репутационных издержек. Тем временем, защита личной информации субъектов — это важный процесс, в котором не должно быть утечек.

Предлагаемые поправки по уменьшению размера штрафа или полному его исключению «для первого раза», думаю, можно рассматривать как вариант поддержки бизнеса на фоне возросшей инфляции, а также мерой поощрения за факт оперативного сообщения об утечке в Роскомнадзор. Насколько это будет эффективным – покажет время», — прокомментировал инициативу Минцифры РФ Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.

«В этом законопроекте прекрасно всё: и признание компаниями утечек, и штрафы. Согласно законопроекту, компания должна уведомить об утечке РКН в течение 24 часов, а также в течение 72 часов направить в ведомство результаты внутренней проверки. Какой момент времени должен быть принят за точку отсчета?

Предоставив послабление для тех компаний, которые впервые столкнулись с таким инцидентом, мы получим в итоге то, что никто не понесёт ответственность за утечку данных. Что происходит дальше с данными, как и кто ими воспользуется, — это так и останется вектором атак на тех, кто эту информацию предоставил.

Следует определить, что считается фактом утечки:

  • сотрудник слил базу персональных данных;
  • результат внешней атаки;
  • утеря носителя с персональными данными и т.д.

Всегда смущает в этих громких историях одно — ни одна компания не принесла извинения перед своими пользователями/клиентами за утечку. Чего нет в этом законопроекте – не учитываются интересы пользователя/клиента. Штрафы, скорее всего, пойдут в федеральный бюджет, а пользователь/клиент не получит никакой компенсации. Тут, я полагаю, нужно «пугать» ответственностью не перед органами власти, а перед каждым пользователем/клиентом, чьи данные утекли. Тогда, может быть, что-то и получится», — отметил Яков Ставринов, коммерческий директор IT-Task.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *