Железная логика: почему промышленники против оборотных штрафов за утечки данных

Анастасия Гаврилюк Редакция Forbes

Российские сталевары выступили с критикой поправок, предусматривающих введение оборотных штрафов за утечки данных, следует из письма ассоциации «Русская сталь» правительству, с которым ознакомился Forbes. Расплывчатость формулировок законопроекта и наложение штрафов на компанию, даже если она предприняла все возможное, чтобы избежать утечки, могут привести к произвольному правоприменению и несоразмерной ответственности бизнеса, говорится в письме. Этот законопроект может затронуть весь российский бизнес, а не только те компании, которые в силу своей деятельности обрабатывают большой объем данных своих клиентов, подтверждают эксперты

«Карательные меры»

Ассоциация предприятий черной металлургии «Русская сталь» (в числе ее участников — «ЕВРАЗ», «Мечел», «Северсталь», Магнитогорский металлургический комбинат, Новолипецкий металлургический комбинат и др.) 18 августа направила письмо заместителю председателя правительства Дмитрию Григоренко (копия есть в распоряжении Forbes). В документе, подписанном исполнительным директором «Русской стали» Алексеем Сентюриным, ассоциация обращает внимание на «существенные риски, сопряженные с текущей редакцией законопроекта». В пресс-службе правительства на запрос Forbes не ответили, в «Русской стали» отказались от комментариев.

Telegram-канал Forbes.Russia

Канал о бизнесе, финансах, экономике и стиле жизни

В своем письме «Русская сталь» отмечает, что регулирование должно повышать уровень информационной безопасности, а не налагать «карательные меры» на отечественный бизнес. Неопределенность состава правонарушения в законопроекте, говорится в письме, создает прецедент: даже если компания выполнила все разумные требования по защите данных, в случае взлома его систем третьими лицами она все равно подлежит привлечению к ответственности. Также ассоциация обращает внимание, что в тексте законопроекта используется термин «идентификаторы» наряду с «персональными данными». На практике и так нет единого понимания того, что считать персональными данными, а применение двух этих терминов еще больше запутает как бизнес, так и самих регуляторов.

В «Русской стали» предлагают разграничить случаи, когда оборотный штраф взимается в минимальном или максимальном размере. В международной практике при расчете оборотных штрафов принимаются во внимание обстоятельства инцидента — например, характер нарушения, его серьезность, риски нарушения прав пользователей, а также выручка организации, говорят в ассоциации. По мнению организации, широкий диапазон оборотного штрафа может привести к произвольному правоприменению.

Материал по теме

Что предлагает законопроект

Поправки в КоАП, предполагающие наложение оборотных штрафов за утечки персональных данных, были представлены на рассмотрение правительству 26 июля сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Александром Хинштейном. Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные». Согласно этому законопроекту, сумма штрафа за первую утечку предполагается фиксированной, а за повторную уже будет зависеть от оборота компании.

Так, штрафовать компании предлагается в случае, если скомпрометирована личная информация более 1000 граждан или же личные «идентификаторы данных» более 10 000 граждан. В таком случае компании придется заплатить от 3 млн до 5 млн рублей, а должностному лицу — от 800 000 рублей до 1 млн рублей. При более крупном размере утечки (если скомпрометированы персональные данные более 10 000, но менее 100 000 граждан или же от 100 000 до 1 млн идентификаторов) юрлицу придется заплатить от 5 млн до 10 млн рублей, а должностному лицу — 1–1,5 млн рублей.

Для особо крупных утечек, которые затронули данные более 100 000 граждан (или более 1 млн идентификаторов), предусмотрены штрафы в размере 10–15 млн рублей для компании и 1,5–2 млн рублей для должностного лица. При повторном нарушении размер штрафа будет зависеть от оборота компании и составлять от 0,1% до 3% от годовой выручки, но не может быть менее 15 млн рублей либо более 500 млн рублей.

Согласно текущему законодательству, штраф для юрлиц за утечку данных по статье 13.11 КоАП составляет 60 000–100 000 рублей, при повторном правонарушении — до 500 000 рублей. Например, в 2021 году Oriflame заплатила 30 000 рублей за утечку данных 1,3 млн клиентов, а «Яндекс Еду» в прошлом году оштрафовали на 60 000 рублей.

Материал по теме

В особо крупном размере

Это далеко не первый критический отзыв бизнеса на поправки Турчака, Рукавишниковой и Хинштейна. Инициативу уже раскритиковала Ассоциация больших данных (АБД, объединяет «Яндекс», VK, Сбербанк, «Ростелеком», ВТБ, МТС и др.): в своем письме в правительство АБД утверждала, что законопроект не достигает своей цели. Даже если компания выполнит все возможные требования по защите данных своих сотрудников и клиентов, в случае взлома хакерами она все равно будет привлечена к ответственности.

Кроме того, Ассоциация компаний интернет-торговли (АКИТ, объединяет Ozon, Wildberries, «Яндекс Маркет», Lamoda, «Ситилинк» и др.) в своем письме Минфину предложила применять оборотные штрафы только к тем компаниям, которые повторно допустили утечку данных пользователей в особо крупных размерах. Минэкономразвития в письмах в правительство и Минюст предложило уменьшить оборотные штрафы, так как предлагаемый размер наказания является «неоправданно высоким», а увеличение штрафов в сто и более раз требует дополнительного обоснования. Сам Минюст поддержал инициативу Александра Турчака с условием ее доработки. В частности, министерство предлагает предусмотреть возможность добровольной компенсации компаниями предполагаемого вреда и учитывать это как смягчающее обстоятельство. Также Минюст считает необходимым разграничить ответственность для юрлиц и индивидуальных предпринимателей.

Законопроект нужен для усиления ответственности бизнеса за утечку личных данных, для этого предполагается введение штрафов, зависящих от оборота компании, поясняет ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Анна Сарбукова. По ее словам, если размер штрафа фиксированный, то он не будет для компании существенным: такой штраф выплатить проще, чем приобрести и обслуживать технические средства защиты, поясняет эксперт. Эта практика широко применяется в различных странах, например, в Евросоюзе при нарушении бизнесом регламента по защите данных (GDPR), отмечает Сарбукова.

Наличие высоких штрафов позволит обеспечить больший порядок при обработке персональных данных, считает она. Организации станут чаще прибегать к услугам DPO (data protection officer, должностное лицо по защите данных), аудиторов и консультантов, которые помогут им предотвратить нарушения законодательства об обработке персональных данных, заключает юрист.

Материал по теме

Коснется каждого

Предприятия металлургической индустрии поддерживают саму необходимость борьбы с утечками персональных данных, говорит источник в одной из отраслевых компаний. При этом они считают избыточным решать этот вопрос исключительно с помощью наложения штрафов. «Ряд терминов законопроекта можно трактовать двояко, что, в свою очередь, ведет только к увеличению нагрузки на компании, в том числе и промышленные», — добавляет собеседник Forbes.

Вопрос обнародования персональной информации не праздный: по оценкам F.A.C.C.T. (ранее Group-IB), общее количество строк данных пользователей, содержащихся во всех утечках за 2022 год, превысило 1,4 млрд. Всего за 2022 год в публичном доступе оказалось 311 баз персональных данных, тогда как годом ранее — только 61.

В промышленном секторе обрабатывается большое количество персональных данных работников предприятий, говорит руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев. По его словам, утечка данных у работодателя может повлечь «значительно более негативные последствия», чем компрометация данных о пользователях интернет-сервиса, несмотря на меньшее количество пострадавших субъектов. «Работодатели хранят паспортные данные, сведения о трудовом опыте, образовании и доходе, а также информацию о состоянии здоровья работника, его адрес и иные контактные данные. Тогда как в большинстве интернет-сервисов обрабатываются менее чувствительные данные, которые сложнее использовать для причинения вреда субъекту персональных данных», — поясняет Владимир Ожерельев. Промышленным предприятиям требуется меньше инвестиций на информационную безопасность, чем интернет-компаниям, но ответственность несут такую же, подчеркивает эксперт.

Материал по теме

Законопроект, регулирующий обработку персональных данных, касается практически всех, далеко не только интернет-компаний и банков, рассуждает эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян: «По разным оценкам, в России несколько миллионов юрлиц и ИП со статусом работодателя, и все они могут подпасть под действие этой инициативы». По словам эксперта, промышленные предприятия обрабатывают персональные данные не только сотрудников, но и своих контрагентов — подрядчиков, сервисных компаний и др. «Это существенный объем личных данных», — говорит Мунтян.

Кроме того, промышленные предприятия являются объектами критической информационной инфраструктуры и подпадают под соответствующее регулирование. Поэтому они хорошо понимают, что стоит на кону: формулировки законопроекта несут для них значительные риски, отмечает Алексей Мунтян. Никто не застрахован от утечек персональных данных, например, в результате хакерской атаки, добавляет он. Тем не менее, если утечка произошла, а компания предприняла при этом все необходимые меры по защите данных, она может быть освобождена от ответственности, считает эксперт.