Оборотные штрафы за утечки данных наложат на бизнес лишь при повторных нарушениях

Законопроект об оборотных штрафах за утечку данных принят в двух палатах парламента и отправлен на подпись президенту. Штрафы увеличились, введена разная ответственность за разный масштаб утечек, но смягчение для бизнеса в итоговом документе все же произошло: оборотные штрафы накладываются только в случае рецидива

Для бизнеса все же появятся оборотные штрафы за утечки данных. Но только в случае повторных нарушений. В целом же — штрафы увеличиваются, появились и разные степени масштаба утечек. Законопроекты приняты в Госдуме и Совфеде, теперь они поступят на подпись президенту. Как их воспринял бизнес?

Законодатели учли опасения бизнеса и несколько смягчили новые меры — штрафы от 1% до 3% годового оборота будут только в случае повторной утечки персональных данных. Если компания допустит утечку данных от тысячи до 10 тысяч пользователей, ей будет грозить штраф от 3 млн до 5 млн рублей. При сливе уже полноценной базы с данными, от 10 тысяч до 100 тысяч пользователей — штраф составит от 5 млн до 10 млн рублей. Если в базе 100 тысяч пользователей и больше — штраф вырастет до 15 млн. Можно заметить, что за скобки вынесены утечки, где менее одной тысячи пользователей, — тогда их как бы и не было.

Также вводится штраф до 2 млн рублей — за нарушения при обработке биометрии. За утечку медицинских данных штраф — до 15 млн. Можно сделать вывод, что основные риски будут нести операторы больших баз данных, агрегаторы, в том числе туристические агентства, говорит вице-президент Российского союза туриндустрии, основатель юридического агентства «Персона Грата» Георгий Мохов:

Георгий Мохов вице-президент Российского союза туриндустрии, основатель юридического агентства «Персона Грата» «Даже такие условия, с введением оборотного штрафа только за повторное правонарушение, все равно являются достаточно жесткими для определенных видов бизнеса, где обрабатываются большие массивы персональных данных, например в сфере туризма, когда бронируется множество билетов, десятки тысяч записей по персональным данным обрабатываются, а утечка происходит ввиду хакерских атак, криминальных действий, то есть не по вине самого предприятия. А в сфере туризма передаются данные для бронирования билетов, гостиниц, экскурсий, иногда передаются через несколько организаций, бывает в цепочке до пяти разного рода информационных систем, утечка может произойти не по вине даже того, кто изначально направлял куда-то персональные данные туриста. Государству со своей стороны, если они вводят такого рода санкции, необходимо предусмотреть субсидии на возмещение затрат на повышение этой информационной защищенности разного рода информационных ресурсов».

Основной вопрос — как регулятор и суды будут определять, кто в итоге виновен в утечке — особенно если пересылок данных было много, — пока остается без ответа. Опрошенный редакцией бизнес говорил, что начнет консультации с юристами по этому вопросу. Иногда хакеры, когда продают взломанные базы данных, сами указывают, кто стал «донором», однако так происходит далеко не всегда. Есть некоторые косвенные признаки, на которые опирается РКН, например, данные о турпутевке вряд ли могли утечь из маникюрного салона. Мы постоянно слышим о том, как компании обещают выяснить все обстоятельства утечек, но никогда не слышим о результатах этих расследований. Однако они есть, уверен эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:

Юристы уверены, что после вступления закона в силу Роскомнадзор в первую очередь сосредоточится на взыскании штрафов с крупных компаний и агрегаторов данных — но в целом законопроект можно расценивать как сигнал всему рынку, что пора с массовыми утечками что-то делать. Хотя технически, конечно, все наши данные в интернете есть уже давно — здесь законодатели сильно не поспевают за реальностью.