21.02.2022
В Совете федерации в ходе круглого стола обсуждалось предложение ввести оборотные штрафы для операторов персональных данных за нарушение их обработки, в частности, незаконного распространения (утечки). Об этом рассказал директор Института исследований интернета Карен Казарян, присутствовавший на обсуждении. Минцифры поддержало идею о штрафах с оборота за утечку персональных данных. В частности, речь идёт об ответственности операторов за хранение персональных данных. По некоторым сведениям, в РФ уже разрабатывают соответствующие поправки в законодательство. Операторы связи сомневаются в позитивном эффекте от введения новых наказаний для бизнеса, но в Минцифры уверены, что мера поможет сократить число утечек. Сенатор от Заксобрания Ростовской области Ирина Рукавишникова считает, что принимать решение по оборотному штрафу из-за утечки у любого оператора данных нельзя. По её мнению, необходимо дифференцировать ответственность в зависимости от множества факторов.
Директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович данную информацию подтвердила. Наибольшую активность по теме введения оборотных штрафов на круглом столе проявил один из чиновников Минцифры, отметили два участника совещания. Представитель министерства сообщил, что «введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками персональных данных». Сейчас максимальный штраф за утечку – 500 000 рублей по статье 13.11 Кодекса об административных правонарушениях. По оценке Орехович, введение оборотных штрафов «может существенно снизить число утечек». При этом, она отметила, «нужно учитывать и степень вины привлекаемого к ответственности юрлица». Одно дело, когда компания не выполнила необходимые процедуры по защите данных сотрудников, и совершенно другое – когда имел место человеческий фактор, умысел одного из сотрудников.
«Утечка данных не приводит к увеличению оборота, напротив, нарушитель наказывает себя потерей лояльности абонентов и ущербом для репутации. Поэтому считаем идею оборотных штрафов нелогичной и излишней», – сказал представитель Tele2. Он добавил, что оборотные штрафы вводились в России за ограничение конкуренции, но в этом случае нарушитель увеличивал доход за счет потерпевших участников рынка. Руководитель отдела развития бизнеса центра продуктов Dozor «Ростелеком-Солара» Алексей Кубарев указал на то, что операторами персональных данных в России являются, по сути, все компании. Но лишь единицы принимают эффективные меры по защите данных клиентов, а большинство не делает ничего, сказал руководитель центра реагирования на инциденты кибербезопасности (CERT) компании Group-IB Александр Калинин. Кубарев добавил, что оборотный штраф, который зависит от выручки компании, может стать действенной мерой, чтобы операторы данных «озаботились не бумажной, а реальной защитой» их. Калинин напомнил, что за рубежом есть работающая практика со штрафами 2-4 % от дохода компании за год. Так, персональные данные из базы клиники Verimed, которая занимается лечением алкоголизма, наркомании и других зависимостей, могли быть скомпрометированы. В интернете появилось объявление об утечке 250 000 записей. В 2021 году стоимость получения данных граждан от компаний разных отраслей, выросла более чем вдвое, а банковской информации – в четыре раза. Эксперты считают, что увеличение цен на услуги инсайдеров может быть связано с тем, что банки, в том числе по требованиям регулятора, усилили защиту от утечек и ужесточили ответственность за них для сотрудников.