Собственность персоны: ответственность за небезопасную обработку данных ужесточат
Небезопасная обработка персональных данных станет отягчающим обстоятельством, если компанию будут штрафовать за их повторную утечку. Такие предложения содержатся в отзыве кабмина (есть у "Известий") на парламентский законопроект. Он предполагает, что размер взысканий составит от 0,1% до 3% выручки. Изменения должны мотивировать компании активнее вкладываться в защиту сведений о клиентах. Что еще предлагает правительство - в материале "Известий".
Кабмин поддержал законопроект об оборотных штрафах за утечку персональных данных
Правительство поддержало законопроект об ужесточении наказаний за утечки персональных данных, но на условиях его доработки, сообщил "Известиям" источник в кабмине. В отзыве правительства, который есть в распоряжении редакции, говорится, что размер штрафов за утечку персональных сведений специальной категории должен зависеть от характера нарушения и степени его общественной вредности.
В частности, предлагается усилить ответственность за такие нарушения, если компания использовала несертифицированные средства защиты, это будет считаться отягчающим обстоятельством, из-за которого итоговый штраф может оказаться выше.
СПРАВКА "ИЗВЕСТИЙ"
Сертифицированные средства защиты - это программное обеспечение или устройство, которое позволяет защитить канал передачи информации от утечек. Оно утверждается Федеральной службой по техническому и экспортному контролю (ФСТЭК). Это могут быть системы защиты, генераторы помех или сетевые фильтры. Госструктуры обязаны их использовать, частные компании - нет.
- В случае установления отягчающих обстоятельств, судья или иное должностное лицо может назначить штраф ближе к верхней границе нормы КоАП или, соответственно, по нижней в случае смягчающего, - уточнил адвокат КА Pen & Paper Виктор Рыков.
Законопроект за авторством группы сенаторов и депутатов призван ужесточить наказание за утечки персональных данных, следует из текста инициативы. В пояснительной записке также уточняется, что сейчас компании, допустившие попадание данных своих клиентов в руки злоумышленников, платят штрафы в размере до 100 тыс. рублей (или 300 тыс. при повторном нарушении). Предлагается повысить их до диапазона от 3 млн до 5 млн рублей для юрлиц и от 800 тыс. до 1 млн рублей для должностных лиц.
За утечки специальных категорий персональных данных предполагается установить взыскания повышенного уровня. Помимо этого, за повторные нарушения против компаний будут применяться оборотные штрафы - они будут составлять от 0,1% до 3% выручки юрлица за календарный год.
При этом диапазон взыскания будет составлять 15-500 млн рублей для сливов обычных персональных данных и 20-500 млн рублей - для утечек данных специальной категории. К ним относится, например, информация о национальной и расовой принадлежности субъекта, о его здоровье и интимной жизни, судимости, религиозных или философских убеждениях.
"Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность", - следует из пояснительной записки к инициативе.
- Объемы несанкционированного перетока информации обрели космические масштабы. У населения нет возможности защитить себя от несанкционированной утечки данных, из-за того что все механизмы идентификации клиентов построены на обработке этих сведений, - подчеркнул независимый эксперт Андрей Бархота.
Только за 2023 год в Сеть утекли 240 млн уникальных телефонных номеров россиян, писали ранее "Известия".
При этом банковский сектор в последние годы особенно часто допускает утечки персональных данных - за это ЦБ ежегодно штрафует их, отметил Андрей Бархота. Вольное обращение со сведениями клиентов сейчас способно принести кредитным организациям доход, который способен перекрыть убыток от штрафа.
"Известия" направили запрос в Минцифры и Центробанк.
Поможет ли ужесточение требований обезопасить данные от утечек
Помимо отягчающих обстоятельств, в отзыве правительства предлагается ввести и смягчающие. Ими может стать денежная компенсация вреда нарушителем в пользу пострадавших от утечки, следует из отзыва кабмина. Кроме того, смягчить наказание помогут ежегодные расходы на информационную безопасность данных в течение не менее трех лет до нарушения.
В отзыве уточняется, что ответственность за обработку персональных данных также должна распространяться на работу с биометрией. Это стало бы обоснованным шагом - с учетом того что роль биометрии в жизни современного общества растет, отметила член Ассоциации юристов России Юлия Рамзенкова.
При этом государственная Единая биометрическая система (ЕБС) предъявляет к информационной безопасности самые жесткие требования, говорил в интервью "Известиям" глава Центра биометрических технологий (ЦБТ) Владислав Поволоцкий. В пресс-службе организации уточнили, что для работы с биометрическими данными используются только сертифицированные средства защиты информации.
Предлагаемые властями меры могут снизить риски утечек в перспективе, однако также способны привести к искажениям на рынке информационных технологий - среди компаний, предоставляющих услуги хранения персональных данных, могут возникнуть монополии, считает Юлия Рамзенкова.
Оборотные штрафы способны снизить частоту и объем утечек, считает Андрей Бархота. При этом банки могут перенести ответственность за соблюдение правил хранения персональных данных на дочерние и зависимые компании, выручка которых может быть значительно ниже, чем у материнской организации. Утечки информации в таком случае не исключены, хотя распоряжаться ею станут в любом случае аккуратнее.
Источник: Известия https://iz.ru/1675410/evgenii-grachev-evgeniia-pertceva/sobstvennost-persony-otvetstvennost-za-nebezopasnuiu-obrabotku-dannykh-uzhestochat
02.04.2024