В России могут появиться оборотные штрафы за утечку персональных данных. Идея прозвучала на круглом столе в Совете федерации, ее поддержало Минцифры, пишут «Ведомости». Речь идет о наказании для операторов персональных данных, то есть практически для любой российской компании. По оценкам Роскомнадзора, личную информацию обрабатывают около 6 млн организаций.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
Как сейчас борются с утечками данных? И могут ли оборотные штрафы решить проблему? Основатель сервиса DLBI Ашот Оганесян говорит, что виновные, как правило, получают символические наказания. Но если компании придется платить процент от выручки, она, вероятно, задумается о безопасности данных.
«Все случаи, которые известны и доходят до суда, всегда заканчиваются наказанием физических лиц, сотрудников, если речь идет о мобильных операторах, банках. Это низовой персонал: либо сотрудники колл-центров, либо офиса продаж. Назначаются судебные штрафы, причем довольно незначительные, в основном это десятки тысяч рублей и условные сроки. Очень редко когда речь идет о каких-то реальных сроках заключения. Более того, как правило, это суды первой инстанции, и если подождать, а потом еще раз поискать информацию, скорее всего, будет апелляция, которая отменит реальный приговор и заменит его условным.
На самом деле, это прекрасно, потому что на компании, которые допускают утечки, фактически никакие санкции не налагаются. Если какие-то штрафы и есть, то они копеечные. Раньше были десятки тысяч рублей, сейчас, по-моему, подняли до полумиллиона. Для крупнейших компаний, торгующихся на бирже, это никакое не наказание. Это абсолютно правильный шаг, к которому надо идти, и единственный способ побороть утечки.
Только наказывая компании, штрафуя их на существенные суммы, можно заставить предпринимать конкретные действия по предотвращению утечек. Любая безопасность — это финансовые издержки.
Если у компании ущерб превышает затраты на безопасность, деньги будут вкладываться в защиту. Если ущерб незначительный и траты ниже, ни на какую безопасность средства выделяться не будут. Собственно, это сейчас и происходит»,— отмечает Оганесян.
По российским законам максимальный штраф, связанный с оборотом персональных данных, — 18 млн руб. Его могут получить компании, которые отказались размещать информацию россиян на серверах внутри страны. За утечки данных суды назначают менее строгие наказания, отмечает юрист, партнер компании «Томашевская и партнеры» Роман Янковский. По его словам, оборотные штрафы — разумная мера, но и к ней есть вопросы:
«Это общепринятая мера ответственности, и в Европе GDPR — общий регламент по защите данных — применяется уже несколько лет. Другое дело, что тут есть тоже свои нюансы. Нужна понятная методика учета вины компании, было ли это результатом небрежности со стороны компании либо же это событие, которое могло затронуть кого угодно.
В других юрисдикциях есть рыночная практика, то есть определяется, была ли у компании какая-то предыдущая история нарушений, указывали ли ей на помехи в безопасности.
Количество предшествующих эпизодов может свидетельствовать о том, виновата ли компания, был ли выстроен процесс контроля за этими утечками. Нам, конечно, сложно будет высчитать оборотные штрафы каких-то организаций, которые периодически допускают такие моменты, причем часто по откровенной безалаберности сотрудников. Но хотелось бы хотя бы увидеть какие-то действия, предпринятые ими. Речь идет про дисциплинарную ответственность, увольнения, штрафы с конкретных сотрудников, административные дела».
В конце прошлого года Минцифры заказало ежедневный мониторинг утечек персональных данных россиян. Исполнитель должен искать информацию на хакерских форумах и в Telegram-каналах. Анализировать нужно около 300 источников. Контракт заключили на полгода. Его стоимость — 25 млн руб.