В Госдуме предложили ввести оборотные штрафы за первую утечку персональных данных

Руководитель фракции «Справедливая Россия – За правду» Сергей Миронов направил обращение председателю правительства РФ Михаилу Мишустину с предложением ужесточить ответственность за нарушение порядка обработки персональных данных. В документе, оказавшемся в распоряжении журналистов, содержится инициатива установить оборотный штраф уже за первую утечку персональных данных.

С 30 мая в России действуют изменения в Кодексе об административных правонарушениях, которые усилили наказание за повторные инциденты утечки. Согласно новым правилам, для компаний штраф составляет от 1% до 3% выручки, для банков — от 1% до 3% собственного капитала. Минимальная сумма — 25 млн рублей, максимальная — 500 млн рублей.

Сергей Миронов, как отмечают журналисты, считает такие меры недостаточными. В разговоре с РИА Новости он напомнил, что при первом нарушении штраф редко превышает 15 млн рублей, в отдельных случаях может достигать 20 млн. По его словам, это создает ситуацию, в которой бизнесу проще заплатить незначительное наказание, чем тратить ресурсы на организацию полноценной системы защиты персональных данных.

В своём предложении Сергей Миронов подчёркивает необходимость установить оборотные административные штрафы уже с первого инцидента. Минимальную сумму штрафа он предлагает зафиксировать на уровне 25 млн рублей.

Парламентарий отметил, что реальный масштаб угроз может быть намного серьезнее, чем отражено в статистике. По его мнению, только значительное увеличение санкций способно мотивировать компании к ответственному отношению к данным пользователей. Он подчеркнул, что если при первом нарушении будет грозить серьёзное наказание, бизнесу станет выгоднее инвестировать в защиту, чем нести убытки из-за штрафов.

Дмитрий Вощуков, GR-специалист «СёрчИнформ», заявил CISOCLUB: «Инициатива не поможет защитить персональные данные и снизить количество инцидентов. Сами по себе штрафы не мотивируют компании внедрять средства защиты информации. Кроме того, установленный в настоящее время объем санкций и так велик. Выплата 3-20 млн руб. за первый ИБ-инцидент, вне зависимости от принятых бизнесом мер по его предотвращению, уже является серьезным финансовым риском. Введение оборотных штрафов за первую утечку приведет лишь к переводу обработки персональных данных в «серую зону», к замалчиванию инцидентов и к серии банкротств. В особенности, в среде малого и среднего бизнеса.

Мотивировать бизнес повышать защищенность персональных данных при действующих суммах штрафов поможет смягчение ответственности организаций при выполнении ими конкретных технических мер для защиты от утечек. Мы, совместно с Ассоциацией больших данных, уже подготовили такую инициативу для рассмотрения законодателями».

Дмитрий Сатанин, директор по информационной безопасности «Группы Астра»:
«Мера, в целом, достаточно правильная, но, чтобы избежать утечки персональных данных, любой стартап должен иметь уже достаточно зрелую информационную инфраструктуру и квалифицированных специалистов по защите информации. Такого в реальной жизни практически никогда не бывает, особенно, в нынешней непростой экономической ситуации».

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин: «Сами по себе штрафы еще никого не останавливали от совершения преступлений, особенно в тех областях, где речь идёт про халатность. Мы жили бы в совершенно ином мире, если бы причинно-следственные связи работали именно так. Но на деле компании уже давно придумали, как увести обработку персональных данных в серую зону и перенести свои риски, а повышение штрафов будет только убеждать такие компании, что они на правильном пути. Законодателям необходимо придумать какой-то тонкий механизм, можно даже подсмотреть у коллег по цеху.

Например, на наших глазах за последние 20 лет индустрия пиратства программного обеспечения и компьютерных игр заметно снизила свои обороты ровно потому, что издатели и разработчики придумали способы донести до аудитории, что покупать игры проще и дешевле, чем качать с пиратских сайтов. Они создали удобные онлайн-магазины с доступными региональными ценами, а также, работая с сообществами, развивали свои продукты. Может быть, здесь тоже стоит идти тем же путём — помогать операторам защищать данные, разъяснять и показывать на практике, а не наказывать за неисполнение законов».