Госдума и Совфед приняли закон о повышении штрафов за утечки баз данных
Лента новостей
Компаниям могут грозить штрафы от 3 млн до 15 млн в зависимости от количества утерянных данных. Законом предусмотрен и штраф за нарушения при обработке биометрии, утечку медицинских данных
Обновлено в 18:22
За утечки персональных данных все же будут оборотные штрафы. Но только за повторные нарушения. Законопроекты о повышении штрафов за утечки приняты накануне Госдумой и сегодня Советом Федерации. Теперь их должен подписать президент. В итоговом тексте есть как ужесточения, по сравнению с первой версией, там и некоторые послабления.
Если компания допустит утечку данных от тысячи до 10 тысяч пользователей, ей будет грозить штраф от 3 млн до 5 млн рублей. При сливе уже полноценной базы с данными, от 10 тысяч до 100 тысяч пользователей, штраф составит уже от 5 млн до 10 млн рублей. Если в базе 100 тысяч пользователей и больше — штраф вырастет до 15 млн.
Вводится штраф до 2 млн рублей — за нарушения при обработке биометрии. За утечку медицинских данных штраф — до 15 млн. Больше всего бизнес переживал за оборотные штрафы. Их законодатели все же решили ввести, однако только в случае повторной утечки данных штраф составит от 1% до 3% от оборота компании за прошлый год.
Business FM обсудила с вице-президентом Российского союза туриндустрии, основателем юридического агентства «Персона Грата» Георгием Моховым:
— На мой взгляд, даже такие условия с введенидем оборотного штрафа только за повторное правонарушение все равно являются достаточно жестокими для определенных видов бизнеса, где обрабатываются большие массивы персональных данных. Например, в сфере туризма, когда бронируется множество билетов, обрабатываются десятки тысяч записей по персональным данным, а утечка происходит ввиду хакерских атак, криминальных действий, то есть не по вине самого предприятия. А в сфере туризма передаются данные для бронирования билетов, гостиниц, экскурсий, иногда передаются через несколько организаций, бывает в цепочке до пяти разного рода информационных систем. Утечка может произойти не по вине даже того, кто изначально направлял куда-то персональные данные туриста. Государству, со своей стороны, если они вводят такого рода санкции, необходимо предусмотреть субсидии на возмещение затрат на повышение этой информационной защищенности разного рода информационных ресурсов.
— Как доказать, что утечка произошла из баз данных именно конкретной компании?
— Вопрос доказывания чрезвычайно сложный, то есть придется оправдываться, сейчас трудно сказать, каким образом мы будем выстраивать позицию защиты в случае предъявления обвинений в такой утечке.
— Можно ли сказать, что большие компании чаще вкладывались в защиту данных клиентов, чем малый и средний бизнес, потому что наказания не было, а теперь многие начнут в панике затыкать эти дыры, чтобы не платить многомиллионные штрафы?
— Информационная безопасность — вещь дорогостоящая и сложная в исполнении, тут недостаточно одного желания, нужно иметь ресурсы, специалистов, подготовленное «железо». Может так получиться, что малый и средний бизнес даже при большом желании не смогут таким же образом защитить свои информационные ресурсы, как крупный бизнес.
— Для IT-гигантов 15 млн рублей — это посильное наказание, а для условных ресторанов, салонов это может привести к разорению.
— У ресторанов, салонов, малого бизнеса нет такого объема персональных данных, которые они обрабатывают, поэтому у них и риска меньше. Кроме того, они не передают персональные данные третьим лицам, то есть у них риск утечки находится внутри собственного контура, но, если небольшое предприятие попадет под такой штраф, это приведет к его банкротству.
Есть и другие поправки. «Если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тысяч рублей, либо в размере дохода осужденного за два года, либо принудительные работы на срок до пяти лет, либо лишение свободы на тот же срок», — отметил глава комитета Госдумы по информационной политике Александр Хинштейн. Он добавил, что если произошла трансграничная утечка персональных данных, то предлагается лишать свободы на срок до восьми лет, а если преступление повлекло тяжкие последствия — на срок до десяти лет.
В правоприменении, скорее всего, Роскомнадзор сфокусируется на штрафах с крупных компаний, считает эксперт по вопросам правовой защиты бизнеса московского отделения «Опоры России», директор московского офиса CPO Group Лариса Науменко:
— Ранжировать штрафы необходимо в зависимости от того, что из себя представляет этот бизнес. Эти оборотные штрафы за повторную утечку — 1-3%, но маржинальность у разного бизнеса разная, и если это малый бизнес, где все строится на перепродаже товаров и услуг и маржа незначительная для бизнеса, то плата 3% от оборота тоже может быть фатальной, поэтому все-таки для субъектов МСП можно и нужно предусматривать щадящие, лояльные условия. Чаще всего у бизнеса деньги не лежат готовыми, а все деньги в обороте, и вытащить 3% от оборота — это серьезная сумма практически для любого бизнеса.
— Как доказать, что утечка произошла из баз данных именно конкретной компании?
— Роскомнадзор выявляет случаи, когда хакеры взламывают базу, они выкладывают, с какого ресурса эта база, то есть выкладывают, какой интернет-магазин или база ресторана, может быть, какой-то доставки, плюс выявляет по косвенным признакам. Если компания предприняла все меры по защите персональных данных, если она вкладывалась в эту защиту персональных данных и виновных объективных действий с ее стороны не было допущено. Это может служить смягчающим обстоятельством как раз при назначении оборотного штрафа, то есть при повторной утечке, то есть этот момент был учтен, здесь молодцы. Понятно, что и Роскомнадзор больше ориентирован на крупные компании, нежели вылавливать сотнями или тысячами небольшие организации. Поэтому будет положительная динамика, бизнес будет вкладывать деньги, но это надо понимать, что все равно не будет огромного вала.
Есть еще несколько вопросов к законопроектам — этим моменты могут затруднить исполнение новых обязательств, говорит директор по стратегическим проектам Ассоциации больших данных Ирина Левова:
Ирина Левова директор по стратегическим проектам Ассоциации больших данных «Наше основное замечание всегда было по конкретизации состава правонарушения, фактически вводится безвиновная ответственность, то есть формально это можно называть налогом на информационную безопасность, потому что независимо от того, что оператор сделал или не сделал, он все равно должен заложить в рисковый бюджет минимальный размер штрафа. Требуются разъяснения в части подтверждения выполнения требований по защите информации. Хотелось бы понимать, какой финальный пакет документов будет требоваться судами для подтверждения, что компания все соблюдает. В любом случае, штраф высокий, он наступает неотвратимо, то есть независимо от того, что предприняла компания. И для многих компаний это будет означать закрытие. Здесь возникает вопрос, чтобы проанализировать и утечку, и сопоставить со своей базой данных, с тем чтобы, как того требует закон, далее уведомить Роскомнадзор о самом факте утечки, необходимо проанализировать утекшую базу данных. Сейчас эта деятельность фактически криминализована, и до получения разъяснений относительно ее законности, я думаю, специалисты по информационной безопасности либо компании не будут анализировать утекшие базы данных».
А компенсации самим потерпевшим от утечек данных в принятые законопроекты не вошли. Их обсудят в рамках другого законопроекта, его разрабатывают в Совете по развитию цифровой экономики при Совфеде.
Законодатели пока не решили, на какую сумму смогут рассчитывать пострадавшие, разброс предложений от 100 рублей до 5 тысяч на человека. Возможно нематериальное возмещение вреда, например удаление данных из открытого доступа.