На второе чтение вышел законопроект об усилении ответственности компаний за утечки персональных данных. Основные изменения вносятся в ст. 13.11 КоАП РФ: в зависимости от объема «утекшей» информации серьезно ужесточаются штрафные санкции за все категории нарушений, а за повторные серьезные «утечки» персональных данных устанавливаются оборотные штрафы от 0,1% до 3% выручки компании за прошлый год, но не менее 15 млн руб. и до 500 млн руб.
Новые нормы затрагивают фактически весь российский бизнес, так как даже компании, просто хранящие информацию о контрагентах и кадровом составе.
Конечно, риски утечки персональных данных давно стали частью нашей реальности, подобные новости появляются практически еженедельно. И действующие сегодня размеры штрафов – достаточно невелики, чтобы для недобросовестных компаний было дешевле платить штрафы, чем инвестировать в средства защиты.
Мы в «Деловой России» согласны, что необходимо усиление ответственности компаний за утечки персональных данных, и поддерживаем разработку регуляторных мер, направленных на повышение защиты персональных данных.
Но предлагаемые данным законопроектом меры не вполне нацелены именно на предотвращение утечек данных, зато создают серьезные угрозы добропорядочным компаниям.
1. Невозможно гарантировать защищенность данных. Ни один ответственный вендор решений информационной безопасности не готов гарантировать полную защищенность данных. В результате нет такого набора технических средств и организационных мер, в которые можно было бы инвестировать, и быть уверенным, что ты – молодец.
2. Невозможно быть достаточно добросовестным и ответственным. Законопроект не учитывает усилия компании по обеспечению информационной безопасности: если произошла утечка – виновата компания, и все.
3. Многие компании оборотный штраф выбьет из бизнеса. Предлагаемый размер оборотного штрафа может парализовать работу многих компаний и привести к банкротству. К примеру, в сфере ретейла обороты большие, но маржинальность в среднем невысока, поэтому такие компании штраф в 500 млн рублей за большой оборот съест их прибыль, и дальше компания окажется с крупным долгом, не сможет развиваться или вообще продолжать работу.
4. Огромные взысканные штрафы никак не помогают укреплять информационную безопасность и защиту персональных данных, но, напротив, сократят финансовые возможности что-то делать для борьбы с утечками.
5. Оборотный штраф может стать инструментом конкурентной борьбы и экономических диверсий. Можно ожидать появления заказных атак на цифровую инфраструктуру именно с целью подставить под огромные штрафы. Причем заказчиками могут выступать как недобросовестные конкуренты, так и хакеры, действующие в интересах правительств недружественных стран, которые стремятся всеми силами ослабить российскую экономику, парализовать работу российских компаний.
Мы подготовили предложения по поправкам направили их в Госдуму.
Повысить штрафы за утечки персональных данных, но не так высоко, чтобы они были нетерпимыми для бизнеса, но не наносили компании смертельный удар. И в целом установить штрафы в пределах от 1 млн до 50 млн рублей.
Предусмотреть смягчающие обстоятельства, при которых устанавливаются меньшие предельные размеры штрафов, и отнести к таким обстоятельствам:
– если компания выполнила все установленные законом «О персональных данных» требования.
– если фактически распространения персональных данных не было, ущерб не нанесен, и компания своевременно уведомила уполномоченный орган по защите персональных данных об инциденте, например, о взломе.
– если компания инвестировала (и может это подтвердить) в обеспечение информационной безопасности не менее 0,1% годовой выручки в течение 3 и более лет до инцидента.
– если компания в течение года до инцидента успешно прошла добровольную оценку соответствия уровня защищенности информационных систем персональных данных тем требованиям, которые предъявляет законом «О персональных данных».
Предусмотреть солидарную ответственность операторов персональных данных и компаний, оказывающих услуги в сфере информационной безопасности. Это будет стимулировать компании соблюдать законодательство, а участников рынка информационной безопасности – оказывать услуги операторам персональных данных на должном уровне.
Вице-президент, руководитель исполнительного комитета «Деловой России» Нонна Каграманян
