Оборотные штрафы за утечки данных, анонсированные властями, вызвали неоднозначную реакцию среди предпринимателей. Опрошенные “Ъ FM” представители бизнеса по-разному оценили инициативу, которую, по данным “Ъ”, на этой неделе внесут в Госдуму. Разработанный в Минцифры документ предполагает, что сумма штрафа может составить 1% от годового оборота. И вырасти до 3%, если в течение суток компания не сообщила об утечке в Роскомнадзор. Как бизнес следит за данными своих клиентов? И получится ли с помощью нового наказания обеспечить большую их сохранность? Выяснял Владимир Расулов.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
Предложение по-новому штрафовать бизнес за утечки клиентских баз появилось еще в феврале. Инициативу активно обсуждали на всех возможных площадках. Однако, согласно информации “Ъ”, работу над документом решили ускорить на фоне сразу нескольких крупных инцидентов с персональными данными. За последние несколько месяцев стало известно об утечках из сервисов «Яндекс.Еда» и Delivery Club, службы доставки СДЭК и сети лабораторий «Гемотест». Но не слишком ли жестко штрафовать бизнес за это на проценты с оборота?
Руководитель практики интеллектуальной собственности компании DRC Владимир Ожерельев говорит, что именно так бизнес наказывают за утечки в Европе, и это вынуждает компании ответственнее подходить к защите данных: «Это в первую очередь позволяет бороться с утечками крупных компаний. Для них штрафы даже в несколько миллионов рублей, которые могут выглядеть высоко, на самом деле никакой значимости не представляют. Поэтому предприятия, очевидно, станут более внимательно относиться к своим процессам обработки данных, отчего все только выиграют».
Пока же утечки данных грозят бизнесу гораздо меньшими потерями. Компанию «Яндекс.Еда», например, оштрафовали на 60 тыс. руб. Это минимальное наказание для юрлиц по административной статье. В Госдуме назвали такой штраф насмешкой над здравым смыслом и поддержали инициативу Минцифры по оборотным штрафам. Фирмы с не самой сильной культурой информационной безопасности, вероятнее всего, согласятся на такое наказание — им проще будет заплатить так, чем усиливать систему сохранности информации, считает ведущий эксперт по защите персональных данных компании «Б-152» Максим Лагутин:
«Компании, с одной стороны, будут видеть: ага, если данные текут, значит, я заплачу много денег, мне дешевле вложиться. Но, с другой — здесь идет такая охота на ведьм. И мне кажется, что компании будут до последнего сидеть и ждать 3%, потому что это им выгоднее. Скорее всего, об утечках будет известно не из-за того, что организация уведомила об этом, а из-за того в Роскомнадзоре спустя какое-то время ее выявили».
Впрочем, расходы на безопасность у бизнеса растут и без дополнительных штрафов. Но здесь возникает другая проблема — компании могут тратить на это существенную часть оборота. А государство потом попросту ничего не делает с теми, по чьей вине утекают данные клиентов, говорит сооснователь и гендиректор медико-генетического центра Genotek Валерий Ильинский:
«Генетические данные — самая ценная информация, которую только можно представить себе в отношении человека. Мы тратим эти деньги исключительно из-за того, что чувствуем себя абсолютно незащищенными.
У нас в стране нет проработанной системы безопасности, чтобы противостоять преступности.
Последнее время утечки никогда не заканчивались ни арестом подозреваемых, ни публичными судебными процессами. Мы не знаем, кто ворует данные».
Бизнес в последнее время активнее следит за сохранностью персональных данных клиентов, подчеркивает руководитель сети фитнес-клубов World Gym в России Ольга Киселева. По ее словам, утечки бьют не только по посетителям, но и по самим компаниям. Однако оборотные штрафы в текущей экономической ситуации отнюдь не добавляют уверенности:
«Это имеет значение не только для безопасности клиента, но и для нашей финансовой истории. Если эта база куда-то утекает, конкуренты могут ею воспользоваться и предлагать свои услуги, а для нас это проблема. Так что за этим мы следим очень серьезно. С точки зрения обеспечения я пока не вижу в этом особой сложности, но вот с точки зрения дополнительной финансовой нагрузки, штрафов трудности возникнуть могут».
Тем временем юристы немного успокаивают бизнес и говорят, что в российском законодательстве до сих пор нет определения того, что считать утечкой персональных данных. Да и сам законопроект об оборотных штрафах должен будет еще пройти как минимум три чтения в Госдуме. Тем временем 28 мая президент Владимир Путин подписал закон, который наказывает за принуждение к предоставлению такой информации. Штраф для компаний составит 30-50 тыс. руб.