Минцифры согласовало законопроект о штрафах с оборота за утечки данных
Минцифры согласовало законопроект о штрафах за утечку персональных данных клиентов. Он предусматривает введение оборотных штрафов в 1% в случае утечки и в 3% в случае, если компания скрыла инцидент. Разработка законопроекта ускорилась на фоне утечки данных пользователей «Яндекс.Еды», Delivery Club и клиентов лаборатории «Гемотест»
Законопроект о введении оборотных штрафов для компаний, допустивших утечку данных клиентов, находится на завершающей стадии подготовки. Об этом представитель Минцифры рассказал на совещании, где обсуждалась инициатива, сообщает «Коммерсантъ» со ссылкой на участников встречи. Законопроект предусматривает, что нарушители могут быть оштрафованы на 1% от годового оборота и даже на 3% — если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток.
Внести его в Госдуму планируется в ближайшую неделю. По словам одного из собеседников газеты, разработка законопроекта ускорилась из-за громких инцидентов, которые произошли в последние несколько месяцев. В начале марта крупная утечка персональных данных случилась у сервиса «Яндекс.Еда», Роскомнадзор оштрафовал компанию на 60 000 рублей (по Кодексу об административных правонарушений штраф за утечку данных для юрлиц — до 100 000 рублей). В начале мая в сети появились данные 30 млн клиентов сети лабораторий «Гемотест». 20 мая стало известно о крупной утечке данных пользователей Delivery Club.
В «Яндексе», VK и «Мегафоне» отказались комментировать инициативу, в «Сбере», МТС, «Вымпелкоме» и Минцифры не ответили газете. Комитет Госдумы по информполитике поддерживает введение оборотных штрафов за утечку персональных данных. «Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 000 рублей за утечку «Яндекс.Еды» — это насмешка над здравым смыслом», — сказал глава комитета Александр Хинштейн. По его мнению, принятие такого законопроекта заставит бизнес вкладывать больше средств в развитие своих систем информбезопасности.
Собеседник на рынке информбезопасности отметил, что персональные данные обрабатывают не только крупные IT-компании и банки, но и небольшие предприятия, например из сферы услуг и ретейла. Они редко инвестируют в кибербезопасность, сказал он. «Если организация не вкладывается в защиту информации, оперативно провести расследование будет значительно сложнее. Часто в таких случаях компания узнает об утечке из СМИ или соцсетей», — отметил эксперт центра продуктов Dozor компании «РТК-Солар» Алексей Кубарев. Для оперативной установки факта утечки и последующего расследования компании потребуется соответствующее программное обеспечение, добавил глава отдела аналитики «СерчИнформ» Алексей Парфентьев.
Меры, предложенные Минцифры, в целом аналогичны принципам GDPR (General Data Protection Regulation), отметила советник адвокатского бюро ЕПАМ Елена Авакян. Она напомнила, что GDPR действует в Европе и предусматривает взыскание оборотных штрафов за утечку данных, а также увеличение размеров штрафов в случае неуведомления регулятора. «В российском законодательстве до сих пор нет определения того, что считать утечкой персональных данных», — указала юрист. Она добавила, что неясно, кто и как будет подтверждать и классифицировать утечки.