Собственность персоны: ответственность за небезопасную обработку данных ужесточат

Небезопасная обработка персональных данных станет отягчающим обстоятельством, если компанию будут штрафовать за их повторную утечку. Такие предложения содержатся в отзыве кабмина (есть у "Известий") на парламентский законопроект. Он предполагает, что размер взысканий составит от 0,1% до 3% выручки. Изменения должны мотивировать компании активнее вкладываться в защиту сведений о клиентах. Что еще предлагает правительство — в материале "Известий". Кабмин поддержал законопроект об оборотных штрафах за утечку персональных данных Правительство поддержало законопроект об ужесточении наказаний за утечки персональных данных, но на условиях его доработки, сообщил "Известиям" источник в кабмине. В отзыве правительства, который есть в распоряжении редакции, говорится, что размер штрафов за утечку персональных сведений специальной категории должен зависеть от характера нарушения и степени его общественной вредности. В частности, предлагается усилить ответственность за такие нарушения, если компания использовала несертифицированные средства защиты, это будет считаться отягчающим обстоятельством, из-за которого итоговый штраф может оказаться выше. Сертифицированные средства защиты — это программное обеспечение или устройство, которое позволяет защитить канал передачи информации от утечек. Оно утверждается Федеральной службой по техническому и экспортному контролю (ФСТЭК). Это могут быть системы защиты, генераторы помех или сетевые фильтры. Госструктуры обязаны их использовать, частные компании — нет. — В случае установления отягчающих обстоятельств, судья или иное должностное лицо может назначить штраф ближе к верхней границе нормы КоАП или, соответственно, по нижней в случае смягчающего, — уточнил адвокат КА Pen & Paper Виктор Рыков. Законопроект за авторством группы сенаторов и депутатов призван ужесточить наказание за утечки персональных данных, следует из текста инициативы. В пояснительной записке также уточняется, что сейчас компании, допустившие попадание данных своих клиентов в руки злоумышленников, платят штрафы в размере до 100 тыс. рублей (или 300 тыс. при повторном нарушении). Предлагается повысить их до диапазона от 3 млн до 5 млн рублей для юрлиц и от 800 тыс. до 1 млн рублей для должностных лиц. За утечки специальных категорий персональных данных предполагается установить взыскания повышенного уровня. Помимо этого, за повторные нарушения против компаний будут применяться оборотные штрафы — они будут составлять от 0,1% до 3% выручки юрлица за календарный год. При этом диапазон взыскания будет составлять 15–500 млн рублей для сливов обычных персональных данных и 20–500 млн рублей — для утечек данных специальной категории. К ним относится, например, информация о национальной и расовой принадлежности субъекта, о его здоровье и интимной жизни, судимости, религиозных или философских убеждениях. "Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность", — следует из пояснительной записки к инициативе. — Объемы несанкционированного перетока информации обрели космические масштабы. У населения нет возможности защитить себя от несанкционированной утечки данных, из-за того что все механизмы идентификации клиентов построены на обработке этих сведений, — подчеркнул независимый эксперт Андрей Бархота. Только за 2023 год в Сеть утекли 240 млн уникальных телефонных номеров россиян, писали ранее "Известия". При этом банковский сектор в последние годы особенно часто допускает утечки персональных данных — за это ЦБ ежегодно штрафует их, отметил Андрей Бархота. Вольное обращение со сведениями клиентов сейчас способно принести кредитным организациям доход, который способен перекрыть убыток от штрафа. "Известия" направили запрос в Минцифры и Центробанк. Поможет ли ужесточение требований обезопасить данные от утечек Помимо отягчающих обстоятельств, в отзыве правительства предлагается ввести и смягчающие. Ими может стать денежная компенсация вреда нарушителем в пользу пострадавших от утечки, следует из отзыва кабмина. Кроме того, смягчить наказание помогут ежегодные расходы на информационную безопасность данных в течение не менее трех лет до нарушения. В отзыве уточняется, что ответственность за обработку персональных данных также должна распространяться на работу с биометрией. Это стало бы обоснованным шагом — с учетом того что роль биометрии в жизни современного общества растет, отметила член Ассоциации юристов России Юлия Рамзенкова. При этом государственная Единая биометрическая система (ЕБС) предъявляет к информационной безопасности самые жесткие требования, говорил в интервью "Известиям" глава Центра биометрических технологий (ЦБТ) Владислав Поволоцкий. В пресс-службе организации уточнили, что для работы с биометрическими данными используются только сертифицированные средства защиты информации. Предлагаемые властями меры могут снизить риски утечек в перспективе, однако также способны привести к искажениям на рынке информационных технологий — среди компаний, предоставляющих услуги хранения персональных данных, могут возникнуть монополии, считает Юлия Рамзенкова. Оборотные штрафы способны снизить частоту и объем утечек, считает Андрей Бархота. При этом банки могут перенести ответственность за соблюдение правил хранения персональных данных на дочерние и зависимые компании, выручка которых может быть значительно ниже, чем у материнской организации. Утечки информации в таком случае не исключены, хотя распоряжаться ею станут в любом случае аккуратнее. Ссылка на источник