08/08/2023

Введение оборотных штрафов за утечки ПДн, законопроект о которых был представлен на рассмотрение правительства в конце июля, не поможет сократить их количество. Норма возлагает ответственность на компанию независимо от причин утечки, а также приведёт к сокращению инвестиций бизнеса на ИБ. Предложенная методика расчётов штрафов несправедлива и больнее всего ударит по малому и среднему бизнесу. Такие выводы содержатся в письме Ассоциации больших данных (АБД), направленном в правительство и ряд министерств, пишет Forbes со ссылкой на документы.

Поправки в КоАП, вводящие штрафы, не достигнут своей цели, считают в ассоциации. По мнению авторов обращения, неопределённость состава правонарушения в законопроекте фактически приводит к введению презумпции виновности бизнеса. Независимо от причин утечки ответственность возлагается на компанию, что противоречит базовым принципам гражданского законодательства и КоАП. Это положение не даст бизнесу стимулов для усиления безопасности. Даже если компания выполнит все возможные требования по защите данных своих сотрудников и клиентов, в случае взлома хакерами она всё равно будет привлечена к ответственности.

Согласно позиции АБД, необходимо стимулировать бизнес инвестировать в защиту данных с помощью аудитов на соответствие повышенным требованиям в области ИБ. Государство должно взять на себя обязательства смягчать наказание или не штрафовать компанию, которая сделала всё для защиты данных. Такой подход позволяет повысить защищённость ПДн и сократить количество утечек, считают в ассоциации.

Законопроект об оборотных штрафах предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействие оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные». Штрафовать компании предлагается в случае, если скомпрометирована личная информация более одной тысячи граждан или же личные идентификаторы данных более 10 тыс. граждан. В зависимости от масштабов утечки компании придётся заплатить от 3-5 млн рублей до 10-15 млн рублей, а должностному лицу — от 800 тыс. — 1 млн рублей до 1,5-2 млн рублей. При повторном нарушении размер штрафа будет зависеть от оборота компании и составлять от 0,1% до 3% от годовой выручки, но не может быть меньше 15 млн рублей и более 500 млн рублей.

Также поправки подразумевают, что компания должна сообщить в Роскомнадзор об инциденте в течение 24 часов и о результатах проведённого внутреннего расследования в течение 72 часов. Несоблюдение этих сроков является отягчающим обстоятельством и карается штрафом.

По мнению членов АБД, для расследования инцидента не хватит 72 часов — зачастую утечки происходят у партнёров, а старые утечки объединяют и выдаются за новые. Также РКН не имеет регламента и рекомендаций по проведению расследований. АБД предлагает увеличить срок на проведение внутреннего расследования и уведомления РКН до 30 дней и сократить размер штрафа (1-3 млн руб.) за нарушение сроков информирования РКН в 5-10 раз.

Особое внимание АБД уделяет методике расчётов оборотных штрафов, отмечая, что доля штрафа снижается по мере увеличения размера выручки компании. При расчёте размера оборотного штрафа АБД предлагает учитывать параметр размера выручки компании на определённом товарном рынке, в зависимости от которого должен дифференцироваться предельный размер оборотного штрафа. Такой подход применяется в рамках европейского Регламента по защите данных (GDPR), указывают эксперты.

По мнению опрошенных Forbes участников рынка и экспертов, предложенные формулировки состава правонарушения создают критические риски для ИТ-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов нуждается в корректировке с учётом текущей экономической обстановки. Под действие поправок не попадают государственные и муниципальные органы, что также вызывает вопросы.

По словам бизнес-консультанта по ИБ компании Positive Technologies Алексея Лукацкого, в законопроект ещё будут вноситься изменения, направленные на компенсацию пострадавшим от утечек ПДн, а также ряд смягчающих факторов, на чём настаивает Минцифры. Принятие данного законопроекта заставит бизнес задуматься если не об увеличении своих расходов в этой сфере, то точно о том, насколько сейчас эффективна система кибербезопасности компании, считает эксперт.

В Минэкономразвития ответили изданию, что готовы обсуждать поправки с коллегами и отраслью для выработки редакции законопроекта, которая устроит все стороны.