Минцифры поддержало идею о штрафах с оборота за утечку персональных данных

В России могут ввести оборотные штрафы за утечку персональных данных для их операторов. Такая инициатива обсуждалась на круглом столе в Совете Федерации. Об этом пишут «Ведомости» со ссылкой на участников встречи, посвященной обороту данных и совершенствованию законодательства о них. В Минцифры заявили, что введение штрафов с оборота может уменьшить число утечек. 

Директор Института исследований интернета Карен Казарян рассказал, что на круглом столе один из участников сообщил о разработке поправок об оборотных штрафах. Эту информацию подтвердила директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович. По ее словам, о введении штрафов за утечки сначала высказался представитель экспертного сообщества, а о разработке законопроекта сообщил другой участник. Его имя собеседники «Ведомостей» не назвали. 

Наибольшую активность по теме введения оборотных штрафов на круглом столе проявил один из чиновников Минцифры, отметили два участника совещания. Представитель министерства сообщил, что «введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками персональных данных». Сейчас максимальный штраф за утечку — 500 000 рублей по статье 13.11 Кодекса об административных правонарушениях, напомнила Орехович. 

По ее оценке, введение оборотных штрафов «может существенно снизить число утечек». При этом, отметила Орехович,  «нужно учитывать и степень вины привлекаемого к ответственности юрлица». Одно дело, когда компания не выполнила необходимые процедуры по защите данных сотрудников, и совершенно другое — когда имел место человеческий фактор, умысел одного из сотрудников, пояснила она. 

Первый зампред комитета Совфеда по конституционному законодательству и госстроительству, сенатор от законодательного собрания Ростовской области Ирина Рукавишникова считает, что принимать решение по оборотному штрафу из-за утечки у любого оператора данных нельзя. По ее словам, ответственность должна быть дифференцирована с учетом размера компании, характера и объема слитых данных и т. п. «Нельзя всех равнять под одну гребенку», — сказал сенатор. Она добавила, что оборотные штрафы для любой компании — это «достаточно жесткая мера, применение которой должно быть четко выверено».

Она отметила, что сегодняшние штрафы для некоторых операторов «значительно дешевле, чем действенная защита баз персональных данных россиян от утечек, что делает граждан уязвимыми». «Допускать преднамеренные или случайные утечки персональных данных должно быть совершенно невыгодно любому бизнесу», — пояснила сенатор. Необходимо корректировать законодательство, защищающее персональные данные россиян, и ужесточить ответственность операторов, передал через представителя член комитета Госдумы по информполитике, IT и связи Антон Немкин. 

«Утечка данных не приводит к увеличению оборота, напротив, нарушитель наказывает себя потерей лояльности абонентов и ущербом для репутации. Поэтому считаем идею оборотных штрафов нелогичной и излишней», — сказал представитель Tele2. Он добавил, что оборотные штрафы вводились в России за ограничение конкуренции, но в этом случае нарушитель увеличивал доход за счет потерпевших участников рынка.

Руководитель отдела развития бизнеса центра продуктов Dozor «Ростелеком-Солара» Алексей Кубарев указал на то, что операторами персональных данных в России являются, по сути, все компании. Но лишь единицы принимают эффективные меры по защите данных клиентов, а большинство не делает ничего, сказал руководитель центра реагирования на инциденты кибербезопасности (CERT) компании Group-IB Александр Калинин. Кубарев добавил, что оборотный штраф, который зависит от выручки компании, может стать действенной мерой, чтобы операторы данных «озаботились не бумажной, а реальной защитой» их. Калинин напомнил, что за рубежом есть работающая практика со штрафами 2-4% от дохода компании за год.