Минцифры согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов. Он предполагает не только введение оборотного штрафа в 1%, но и увеличение его до 3%, если компания попытается скрыть инцидент. Разработка инициативы ускорилась из-за раскрытия в сети данных пользователей «Яндекс.Еды», Delivery Club и клиентов лаборатории «Гемотест». Оперативное установление факта утечки потребует от компаний дополнительных инвестиций в софт, отмечают эксперты. Но исполнению законопроекта может помешать пробел в регулировании, считают юристы: в России до сих пор нет нормативного определения утечки персональных данных.
Источники “Ъ” рассказали, что 26 мая в Минцифры прошло обсуждение инициатив по ужесточению ответственности компаний и физических лиц за утечку и распространение персональных данных. По словам собеседника “Ъ”, знакомого с деталями встречи, представитель Минцифры сообщил, что законопроект о введении оборотных штрафов в отношении компаний, допустивших утечку данных своих клиентов, находится в финальной стадии: инициатива предполагает, что нарушители могут быть оштрафованы на 1% от годового оборота.
При этом, по словам источников, оборотный штраф может вырасти до 3% в том случае, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток.
Законопроект, по данным “Ъ”, на ближайшей неделе планируется внести в Госдуму. В Минцифры не ответили на запрос.
Впервые о планах Минцифры подготовить законопроект о введении оборотных штрафов за утечку персональных данных стало известно 22 февраля. Разработка инициативы, предполагает один из собеседников “Ъ”, могла быть ускорена из-за громких инцидентов, которые произошли в последние несколько месяцев. В начале марта крупная утечка персональных данных случилась у сервиса «Яндекс.Еда», Роскомнадзор оштрафовал компанию на 60 тыс. руб. (сейчас, согласно КоАП РФ, штраф за утечку персональных данных для юрлиц может составлять до 100 тыс. руб.). В начале мая в сети появились данные 30 млн клиентов сети лабораторий «Гемотест», а 20 мая стало известно о крупной утечке данных пользователей Delivery Club. В «Яндексе», VK и «Мегафоне» отказались комментировать инициативу, в «Сбере», МТС и «Вымпелкоме» не ответили “Ъ”.
Комитет Госдумы по информполитике поддерживает введение оборотных штрафов за утечку персональных данных.
«Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 тыс. руб. за утечку «Яндекс.Еды» — это насмешка над здравым смыслом»,— говорит глава комитета Александр Хинштейн. По его мнению, принятие такого законопроекта заставит бизнес вкладывать больше средств в развитие своих систем информационной безопасности.
Персональные данные сейчас обрабатывают не только крупные IT-компании и банки, но и небольшие предприятия, например, из сферы услуг и ритейла, которые редко инвестируют в кибербезопасность, отмечает собеседник “Ъ” на ИБ-рынке.
«Если организация не вкладывается в защиту информации, оперативно провести расследование будет значительно сложнее. Часто в таких случаях компания узнает об утечке из СМИ или соцсетей»,— говорит эксперт центра продуктов Dozor компании «РТК-Солар» Алексей Кубарев.
Для оперативной установки факта утечки и последующего расследования компании потребуется соответствующее программное обеспечение, отмечает глава отдела аналитики «СерчИнформ» Алексей Парфентьев.
Предложенные Минцифры меры в целом схожи с принципами GDPR (General Data Protection Regulation), которые действуют в Европе и предусматривают взыскание оборотных штрафов за утечку данных, а также увеличение размеров штрафов в случае неуведомления регулятора, отмечает советник адвокатского бюро ЕПАМ Елена Авакян. По ее мнению, за инициативой стоит методологическая проблема: «В российском законодательстве до сих пор нет определения того, что считать утечкой персональных данных». К тому же, добавляет юрист, неясно, кто и как будет подтверждать и классифицировать утечки.