СФ предлагает обязать компании иметь резерв для выплаты компенсаций за утечки данных

Изображение: Anna Tis (pexels)
В Совете Федерации выступили с предложением о необходимости создания в компаниях-операторах ПДн резерва, который можно было бы использовать для выплаты компенсации пострадавшим гражданам в случае допущенной утечки их персональных данных. В качестве такого резерва может выступить страховой полис, банковская гарантия или внутренний резервный фонд.
Соответствующее заявление во время общения с журналистами сделал член комитета Совета Федерации по конституционному законодательству, Артём Шейкин. Он же рассказал о предполагаемых изменениях в Федеральное законодательство №152 «О персональных данных».
По словам сенатора, в этой ситуации ключевая идея проекта заключается в том, чтобы компании, которые занимаются обработкой персональных данных российских граждан, располагали соответствующим денежным обеспечением в случае необходимости возмещения вреда пострадавшим лицам.
В качестве такого финансового обеспечения может выступить полис, оформленный в страховой компании, банковская гарантия или же какой-либо документ, который сможет подтвердить наличие соответствующих денежных средств в фонде внутри организации. Артём Шейкин также указал на то, что соответствующие требования будут распространяться не только на бизнес, но также на государственные и муниципальные организации.
При этом сенатор подчеркнул, что на данный момент окончательное решение по этой инициативе ещё не принято и Совет Федерации планирует определить, будет ли эта мера распространена на всех операторов персональных данных или только на тех, кто имеет действительно большое количество записей с конфиденциальной информацией о российских гражданах в своих информационных системах.
Дмитрий Давкин, Начальник отдела ТЗКИ Cloud Networks, высказал своё мнение по этому проекту, обсуждаемому в Совете Федерации: «На мой взгляд, инициатива выглядит весьма сложной в реализации. Слишком большое количество операторов персональных данных, являющихся организациями различных секторов экономики, различного масштаба и степени цифровизации технологических процессов. Формирование и ввод в действие такого рода механизмов потребует не только длительной экспертной проработки и унификации, но и вероятно будет многократно дорабатываться в процессе внедрения, если конечно инициатива вообще получит какое-то развитие.
До сих пор не определен перечень того, что есть ПДн. Формулировка прямо или косвенно идентифицирующая субъект — этого не достаточно для введения такого регулирования, поскольку обычно не достаточно знать ФИО или номер паспорта. За незаконную обработку биометрии можно было бы и привлекать к ответственности, потому что что такое биометрия более чем понятно. Однозначно потребуется и проработка методик категорирования процессов обработки со стороны операторов в зависимости от объемов базы данных субъектов ПДн, степени риска утечки и так далее. Так как пока это только озвученный комментарий от члена комитета Совета Федерации по конституционному законодательству о том, что подобная инициатива обсуждается, оценивать вероятность ввода в действие новых мер весьма преждевременно.
Стоит также учитывать, что контрольно-надзорные механизмы и практика применения штрафов в области 152-ФЗ в нашей стране имела зачастую скромные темпы и масштабы».
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT: «Пока сложно сказать о том, насколько инициатива проработана, т.к. детальной информации еще нет. К тому же всегда присутствует вопрос реализации инициативы на практике. Однако, уже есть успешные примеры для ряда сфер, например НССО — Национальный союз страховщиков ответственности, который помогает организациям застраховать свою ответственность на случай тех или иных инцидентов. Также на ум приходит РСА (Российский союз автостраховщиков), который делает ОСАГО для автомобилистов.
Каких-то препятствий для реализации похожего подхода в случае с утечками ПДн не наблюдается. Можно точно также ввести повышенные коэффициенты, чтобы мотивировать операторов не нарушать нормы обработки и защиты данных, а при расчете стоимости страхования учитывать, каким образом и с применением каких СЗИ ведется защита ПДн от киберугроз».



