Собственность персоны: ответственность за небезопасную обработку данных ужесточат

Небезопасная обработка персональных данных станет отягчающим обстоятельством, если компанию будут штрафовать за их повторную утечку. Такие предложения содержатся в отзыве кабмина (есть у "Известий") на парламентский законопроект. Он предполагает, что размер взысканий составит от 0,1% до 3% выручки. Изменения должны мотивировать компании активнее вкладываться в защиту сведений о клиентах. Что еще предлагает правительство — в материале "Известий".

Кабмин поддержал законопроект об оборотных штрафах за утечку персональных данных

Правительство поддержало законопроект об ужесточении наказаний за утечки персональных данных, но на условиях его доработки, сообщил "Известиям" источник в кабмине. В отзыве правительства, который есть в распоряжении редакции, говорится, что размер штрафов за утечку персональных сведений специальной категории должен зависеть от характера нарушения и степени его общественной вредности.

В частности, предлагается усилить ответственность за такие нарушения, если компания использовала несертифицированные средства защиты, это будет считаться отягчающим обстоятельством, из-за которого итоговый штраф может оказаться выше.

Сертифицированные средства защиты — это программное обеспечение или устройство, которое позволяет защитить канал передачи информации от утечек. Оно утверждается Федеральной службой по техническому и экспортному контролю (ФСТЭК). Это могут быть системы защиты, генераторы помех или сетевые фильтры. Госструктуры обязаны их использовать, частные компании — нет.

— В случае установления отягчающих обстоятельств, судья или иное должностное лицо может назначить штраф ближе к верхней границе нормы КоАП или, соответственно, по нижней в случае смягчающего, — уточнил адвокат КА Pen & Paper Виктор Рыков.

Законопроект за авторством группы сенаторов и депутатов призван ужесточить наказание за утечки персональных данных, следует из текста инициативы. В пояснительной записке также уточняется, что сейчас компании, допустившие попадание данных своих клиентов в руки злоумышленников, платят штрафы в размере до 100 тыс. рублей (или 300 тыс. при повторном нарушении). Предлагается повысить их до диапазона от 3 млн до 5 млн рублей для юрлиц и от 800 тыс. до 1 млн рублей для должностных лиц.

За утечки специальных категорий персональных данных предполагается установить взыскания повышенного уровня. Помимо этого, за повторные нарушения против компаний будут применяться оборотные штрафы — они будут составлять от 0,1% до 3% выручки юрлица за календарный год.

При этом диапазон взыскания будет составлять 15–500 млн рублей для сливов обычных персональных данных и 20–500 млн рублей — для утечек данных специальной категории. К ним относится, например, информация о национальной и расовой принадлежности субъекта, о его здоровье и интимной жизни, судимости, религиозных или философских убеждениях.

"Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность", — следует из пояснительной записки к инициативе.

— Объемы несанкционированного перетока информации обрели космические масштабы. У населения нет возможности защитить себя от несанкционированной утечки данных, из-за того что все механизмы идентификации клиентов построены на обработке этих сведений, — подчеркнул независимый эксперт Андрей Бархота.

Только за 2023 год в Сеть утекли 240 млн уникальных телефонных номеров россиян, писали ранее "Известия".

При этом банковский сектор в последние годы особенно часто допускает утечки персональных данных — за это ЦБ ежегодно штрафует их, отметил Андрей Бархота. Вольное обращение со сведениями клиентов сейчас способно принести кредитным организациям доход, который способен перекрыть убыток от штрафа.

"Известия" направили запрос в Минцифры и Центробанк.

Поможет ли ужесточение требований обезопасить данные от утечек

Помимо отягчающих обстоятельств, в отзыве правительства предлагается ввести и смягчающие. Ими может стать денежная компенсация вреда нарушителем в пользу пострадавших от утечки, следует из отзыва кабмина. Кроме того, смягчить наказание помогут ежегодные расходы на информационную безопасность данных в течение не менее трех лет до нарушения.

В отзыве уточняется, что ответственность за обработку персональных данных также должна распространяться на работу с биометрией. Это стало бы обоснованным шагом — с учетом того что роль биометрии в жизни современного общества растет, отметила член Ассоциации юристов России Юлия Рамзенкова.

При этом государственная Единая биометрическая система (ЕБС) предъявляет к информационной безопасности самые жесткие требования, говорил в интервью "Известиям" глава Центра биометрических технологий (ЦБТ) Владислав Поволоцкий. В пресс-службе организации уточнили, что для работы с биометрическими данными используются только сертифицированные средства защиты информации.

Предлагаемые властями меры могут снизить риски утечек в перспективе, однако также способны привести к искажениям на рынке информационных технологий — среди компаний, предоставляющих услуги хранения персональных данных, могут возникнуть монополии, считает Юлия Рамзенкова.

Оборотные штрафы способны снизить частоту и объем утечек, считает Андрей Бархота. При этом банки могут перенести ответственность за соблюдение правил хранения персональных данных на дочерние и зависимые компании, выручка которых может быть значительно ниже, чем у материнской организации. Утечки информации в таком случае не исключены, хотя распоряжаться ею станут в любом случае аккуратнее.