Бизнес раскритиковал поправки об оборотных штрафах за утечки персональных данных. РЖД, «Аэрофлот», «Автодор», Российский союз туриндустрии, Федерация рестораторов и отельеров, маркетплейсы, энергетические, медицинские и другие компании просят смягчить ответственность и отсрочить вступление документа в силу. Это произошло на совещании в Минэкономразвития, сообщило РБК.

Поправки к КоАП внесли в Госдуму в конце 2023 года. Штрафы за утечки персональных данных предлагается повысить со 100 тысяч до 15 млн рублей, если утечка коснулась более 100 тысяч человек. За повторное нарушение: оборотные штрафы в размере от 0,1% до 3% выручки, но не менее 15 млн и не более полумиллиарда рублей. Говорит вице-президент Российского союза туриндустрии, основатель юридического агентства «Персона грата» Георгий Мохов:

Георгий Мохов вице-президент Российского союза туриндустрии, основатель юридического агентства «Персона грата» «Когда в туризме обрабатываются персональные данные, мы, безусловно, прилагаем максимальные усилия к их защите, но нужно понимать реалии современной ситуации, когда все информационные системы постоянно подвергаются хакерским атакам. Кроме всего прочего, у нас вводится обязательная электронная путевка, то есть мы с 1 сентября по внутреннему туризму, как в прошлом году начали по выездному туризму, должны передавать персональные данные наших клиентов в государственную информационную систему. В связи с этим многократно увеличивается объем обработки персональных данных, их хранения и взаимоотношения с информационными системами, что тоже имеет определенные риски. Но нужно понимать, что у нас есть еще и малый бизнес, и микробизнес, где расходы на информационную безопасность несоразмерны их доходам, и у них степень защиты меньше, они подвергаются разного рода хакерским атакам. И если нет вины компании в утечке персональных данных, а ей вменят штраф в 15 млн рублей, на этом ее судьба на рынке закончится. Поэтому мы выступаем за то, чтобы пересмотреть эти поправки к Административному кодексу. Лучше бы государство субсидировало расходы на обеспечение информационной безопасности и предоставляло предпринимателям, в первую очередь малому бизнесу, возможности с минимальными затратами внедрить на своих предприятиях механизмы защиты персональных данных».

О непосильности таких штрафов заявили и в Федерации рестораторов и отельеров. В Ozon Business FM сказали, что не комментируют эту тему. По информации РБК, на совещании в Минэкономразвития представитель РЖД заявил, что компания объявлена целью украинских хакеров. В случае принятия этих поправок атаки могут сместиться на системы, в которых организация хранит персональные данные. В «Аэрофлоте» сказали, что размер штрафов потребует больших инвестиций в средства защиты.

Полгода отсрочки для вступления в силу — «нереальный срок», для создания стратегии реализации новых мер понадобится два-три года. В группе компаний «Европейский медицинский центр» полагают, что принятие законопроекта может спровоцировать возврат к использованию бумажного документооборота и остановку некоторых цифровых проектов, например в части тестирования телемедицинских технологий. Говорит эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:

Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Пока не введут оборотные штрафы, никто не зашевелится. Я напомню, НФЗ 152, который все были обязаны соблюдать, был введен в 2006 году. У компаний было 18 лет, чтобы внедрить все необходимые средства защиты. Это не бесконечно дорогая вещь. Когда говорят о многомиллионных штрафах, хорошо, подрежьте топ-менеджменту зарплату. Я возмущен таким образом, потому что реально было 18 лет, а люди начинают оттягивать какие-то полгода. Когда рассказывают о том, что, предположим, это как-то повлияет на стоимость продукции, чего-то еще, — тоже обман. При этом сказать: «Ой, мы все равно будем взломаны» — это так и есть, поэтому необходимо продумывать сценарии не только чтобы вас не взломали, потому что рано или поздно, конечно, взломают, но и сценарии того, как правильно проинформировать людей, как правильно спрятать данные, возможно, как-то их зашифровать. Есть различные варианты, как можно повысить безопасность данных. Возможно, надо добавить легкую правку, что если организация не скрыла атаку на себя, рассказала полностью, что было сделано, и привела очень тщательное публичное расследование, в таком случае эта организация, к примеру, уходит от оборотного штрафа и получает штраф в размере каких-то миллионов рублей. Опять-таки, я напомню, там есть максимальный предел, это полмиллиарда рублей, что тоже не является для организаций, которые ворчат, значимой суммой, потому что полмиллиарда рублей, я уверен, они раздают трем топ-менеджерам как годовые бонусы, а может, даже квартальные».

Документ пока прошел только первое чтение. Дата второго еще не назначена. Ранее правительство в целом одобрило законопроект. Но кабмин тоже обращал внимание: текущая редакция может вызвать сложности с исполнимостью административного наказания. Размеры санкций нуждаются в уточнении на предмет соразмерности, говорилось в отзыве.