Штрафы за их утечку предложено поднять в десять раз
Максимальные штрафы за утечку персональных данных в новой редакции Кодекса об административных правонарушениях (КоАП) предлагается увеличить с 50 тыс. до 500 тыс. руб. Это негуманная мера, которая в период пандемии может стать слишком чувствительной для малого бизнеса, предупреждает часть экспертов. С другой стороны, такие данные — слишком ликвидный товар на черном рынке, так что для реальной борьбы с утечками штрафы должны быть еще выше, уверены другие.
Штрафы за утечку персональных данных могут вырасти с 50 тыс. до 500 тыс. руб. для юридических лиц, следует из проекта новой редакции КоАП, который был разработан Минюстом России и 29 мая был выложен на обсуждение на regulation.gov.ru. Для индивидуальных предпринимателей штрафы вырастут с 20 тыс. до 300 тыс. руб., должностных лиц — с 10 тыс. до 100 тыс. руб., остальных граждан — с 2 тыс. до 20 тыс. руб.
Минюст давно прорабатывает новую версию КоАП, ее прежний вариант был опубликован в январе и не содержал нормы об увеличении штрафов. Но вопрос об ужесточении ответственности за утечки поднимался не раз. Еще в 2015 году Госдума рассматривала повышение штрафов до 300 тыс. руб. Сейчас поправки об увеличении штрафов разрабатывает также комитет Госдумы по информационной политике, информационным технологиям и связи, говорил 21 мая 2020 года его глава Александр Хинштейн.
Там уточнили, что состав правонарушения, предусматривающий новые штрафы, прорабатывался рабочей группой по предложению комитета Совета федерации по конституционному законодательству и государственному строительству.
Утечки данных случаются все чаще. По данным InfoWatch, в 2019 году их количество в России выросло на 40% по сравнению с предыдущим годом. Ситуация ухудшается на фоне самоизоляции из-за коронавируса: в результате массового перехода на удаленную работу число попыток неправомерного доступа к данным увеличилось примерно наполовину, причем около 30% инцидентов составляют явно противоправные попытки скопировать клиентские базы данных и передать их вовне, в том числе через мессенджеры, а 10% — действия хакеров, отмечает основатель и технический директор DeviceLock Ашот Оганесян.
Но появление настолько крупного штрафа без предварительной разработки подробного регулирования в сфере обеспечения конфиденциальности, а также без переходного периода, в течение которого операторы персональных данных могли бы привести обработку в соответствие с новыми требованиями, вызывает вопросы, меру можно назвать преждевременной и негуманной в контексте общей экономической ситуации, полагает директор Deloitte Legal в СНГ Екатерина Портман.
Эдуард Лысенко, глава ДИТ Москвы, о возможных утечках персональных данных, 1 апреля на «России 24»
Беспокоиться совершенно не о чем: ничего никуда не уходит, все отрабатывается в соответствии с законом на защищенных серверах в нашем центре обработки данных в Москве
Штраф в размере 500 тыс. руб. значителен только для малого бизнеса, для крупных же организаций он будет не более чем «небольшой неприятностью», их больше заботит потеря репутации вследствие правонарушения, отмечает директор юридического департамента МКБ Ирина Гудкова.
Стоимость баз данных при их продаже в даркнете значительно выше предлагаемых штрафов, следовательно, эта мера не будет сдерживать злоумышленников от слива баз данных на продажу, уверен председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. Например, стоимость баз данных розничных банков в даркнете в 2019 году составляла от 70 руб. за одну запись при размере базы до 150 тыс. записей, то есть до 10,5 млн руб. при указанных объемах, уточняют в DeviceLock. В Европе штрафы за утечку данных составляют до 4% оборота компании, на практике они достигают €21 млн и выше, отмечает господин Журавлев. В России их лучше сделать сопоставимыми с существующими штрафами за нарушение хранения баз данных вне территории РФ, то есть от 6 млн до 18 млн руб., считает руководитель направления «Информационная безопасность» IT-компании КРОК Андрей Заикин.
В компаниях, оперирующих большими объемами персональных данных, не рады увеличению штрафов, но настаивают, что и так обеспечивают высокий уровень безопасности. Действующее законодательство в области персональных данных уже предусматривает строгие требования к их защите, указывают в МТС, подчеркивая, что безопасность данных — безусловный приоритет для компании. «Ростелеком» при защите персональных данных абонентов и сотрудников стремится к выполнению всех требований законодательства и органов власти, заявили в его пресс-службе. Tele2 принимает все меры по защите данных абонентов, доступ к ним есть у ограниченного числа сотрудников, работа которых регламентирована и подвергается строгому контролю, отметили в операторе. Неофициально в одном из операторов связи отметили, что считают нецелесообразным вводить в КоАП новые составы нарушений в области защиты персональных данных и повышать размеры штрафов.