Законопроекты, которые ужесточают ответственность за неправомерную обработку персональных данных, и, в частности, вводят оборотные штрафы за утечки, планируется принять в этом году.
Законопроект дорабатывается
Госдума примет в этом году закон об оборотных штрафах для компаний, которые допустили утечку персональных данных граждан. Об этом сообщил председатель парламентского комитета по информационной политике Александр Хинштейн. «Коллеги из Минцифры и других заинтересованных ведомств совместно с нами подготовили редакцию второго чтения — она сейчас находится на проработке в ГПУ (государственно-правовое управление) президента. И наша задача в текущем году эту норму во втором и в третьем чтении принять», — цитирует его «Интерфакс».
Сегодня многие компании воспринимают личную информацию людей как способ заработка и не охраняют ее должным образом, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. При этом действующие меры ответственности за утечку данных – а это максимум 100-300 тысяч рублей для юрлиц — мало кого стимулируют ответственно относится к персональным данным. «В результате сегодня на черном рынке круговорот баз с персональными данными просто беспрецедентный. По самым скромным оценкам ущерб от утечек только в прошлом году составил около 8 млрд рублей», — сказал он.
Именно поэтому несколько лет назад была начата работа над пакетом законопроектов, направленных на увеличение штрафов за нарушение отдельных требований законодательства в области персональных данных, в частности – за утечки данных, а также введение уголовной ответственности за неправомерную обработку персональных данных. В январе они уже прошли первое чтение.
«Сливы» будут уголовно наказуемы
«Что касается уголовной ответственности, то она предусмотрена как для профессиональных киберпреступников, так и для рядовых сотрудников компаний, которые решили заработать на «сливе» информации. Поправками в Кодекс об административных правонарушениях предлагается ввести штрафы до 15 млн рублей за нарушение требований законодательства в области персональных данных, если они повлекли утечку персональных данных. Ответственность будет расти вместе с объемом «слитой» информации. Наказание будет меняться в зависимости от числа граждан, чьи права нарушены. За повторное нарушение организация уже может заплатить оборотный штраф. Здесь нужно понимать, что оборотные штрафы — это вынужденная необходимость. Ущерб от потерь данных действительно исчисляется миллиардами рублей. При этом бизнес до сих пор минимально уделяет внимание проблемам цифровой безопасности», — подчеркнул депутат.
Половина бизнеса бездействует
Табличное хранение персональных данных на рабочих компьютерах до сих пор распространено в малых компаниях повсеместно, отмечает Немкин. Да и в целом, к сожалению, пока только менее половины российских компаний из сегмента малого и среднего бизнеса успели пересмотреть меры, применяемые для защиты личных данных на фоне возможного ужесточения санкций за их утечки. Более того, 50% компаний даже не изучили поправки детально, а некоторые вовсе пока не планируют усиливать защиту.
«При этом к второму чтению законопроекты были существенно доработаны. В частности, это коснулось и смягчающих административную ответственность обстоятельств. Главное, что нужно нам всем понимать– смягчающие обстоятельства не должны стать лазейкой для нарушителей. В частности, компании должны четко понимать, что откупиться от пострадавших граждан купонами на скидки у них не получится – компенсация должна быть соизмеримой нанесенному ущербу, и сам пользователь точно не должен остаться в уязвимом положении. Как бы то ни было, на наш взгляд, меры ответственности должны побуждать абсолютно все компании серьезно относиться к защите персональных данных и инвестировать в соответствии с возможностями в развитие инфраструктуры информационной безопасности. Операторы данных, включая малый и средний бизнес, для того, чтобы не бояться штрафов, сегодня, в первую очередь, должны соблюдать ключевые принципы работы с данными. Среди них — минимизация перечня собираемых данных, удаление сведений по достижении цели их обработки, регулярное проведение мероприятий внутреннего контроля по обработке персональных данных», — заключил депутат.