Личные данные граждан

Минцифры утвердило новый законопроект, повышающий штрафы за утечку персональных данных. Как пишет «Коммерсантъ», согласно новому закону, оборотный штраф составит 1% годового оборота в случае утечки персональных данных и возрастёт до 3% в случае, если юридическое лицо попытается эту утечку скрыть.

Новый законопроект особенно актуален в свете последних нашумевших событий со сливом баз персональных данных «Яндекс.Еды», «Delivery» и «Гемотеста». Юристы и эксперты приветствуют инициативу по ужесточению ответственности, но при этом отмечают, что в России до сих пор нет внятного нормативного определения, что же всё-таки такое утечка персональных данных. Впрочем, в любом случае в ближайшее время законопроект будет внесён в Госдуму на рассмотрение.

Напомним, что весна 2022 года отметилась рядом крупнейших утечек баз персональных данных компаний, услугами которых пользуются миллионы людей. В начале марта утечка базы данных клиентов произошла у сервиса «Яндекс.Еда». Компания была оштрафована на 60 тыс. руб. согласно КоАП. В начале мая в сеть утекли данные 30 млн клиентов частной медицинской сети «Гемотест», а в конце нынешнего месяца стало известно о появлении в сети персональных данных людей, пользующихся услугами «Delivery Club». Нет сомнений, что вышеперечисленные утечки способствовали ускорению работы над законопроектом, максимально ужесточающим ответственность юрлиц за хранение данных доверившихся им клиентов.

«Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 тыс. руб. за утечку “Яндекс.Еды” — это насмешка над здравым смыслом. Принятие такого законопроекта заставит бизнес вкладывать больше средств в развитие своих систем информационной безопасности», – прокомментировал инициативу глава комитета Госдумы по информационной политике Александр Хинштейн.

Стоит отметить, что обрабатывают и хранят персональные данные клиентов всё больше компаний. При этом с базами данных работают не только гиганты, охватывающие десятки миллионов человек, но и многие небольшие компании, создающие свои базы данных людей, пользующихся их услугами. Именно поэтому и возникла идея штрафов с оборота – компании должно быть «больно» выплачивать такие штрафы, но порог этой боли у каждого разный. Отметим, что многие небольшие предприятия чисто физически не могут себе позволить серьёзно инвестировать в свою кибербезопасность. Стоит подчеркнуть, что серьёзная защита кибербезопасности – это действительно большие деньги, поскольку требуется соответствующее программное обеспечение очень высокого уровня.

«Если организация не вкладывается в защиту информации, оперативно провести расследование будет значительно сложнее. Часто в таких случаях компания узнает об утечке из СМИ или соцсетей», – пояснил эксперт центра продуктов Dozor компании «РТК-Солар» Алексей Кубарев.

Предложенные Минцифры меры по защите персональных данных в целом очень похожи на законы, действующие в Европе, где за утечку персональных данных так же взимаются штрафы с оборота компании. Существует в Европе и опция ужесточения штрафа в случае несообщения об утечке регулятору. Впрочем, есть и те, кто настроен по отношению к новому закону скептически.

«За этой инициативой стоит методологическая проблема. В российском законодательстве до сих пор нет определения того, что считать утечкой персональных данных. К тому же неясно, кто и как будет подтверждать и классифицировать утечки», – поделилась мнением советник адвокатского бюро ЕПАМ Елена Авакян.

Говорит нотариат