Ассоциация больших данных направила 4 августа в Минцифры, Минэкономразвития и Минюст негативный отзыв на проект, предусматривающий оборотные штрафы за утечку персональных данных, сообщает Forbes. В ассоциацию входят «Яндекс», VK, Сбербанк, «Газпромбанк», «Тинькофф Банк», «Россельхозбанк», «Мегафон», «Ростелеком», QIWI, «Билайн», МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок.
Ранее президент Владимир Путин поручил правительству в срок до 1 июля рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных. Правительство закончило работать над законопроектом в июне. Новелла предполагает поправки к ст. 13.11 КоАП («Нарушение персональных данных») в части увеличения санкции:
- если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для юрлиц составит от 3 до 5 млн руб.;
- за утечку данных 10 000–100 000 субъектов — от 5 до 10 млн руб.;
- более 100 000 граждан — от 10 до 15 млн руб.
За повторное нарушение, если пострадали не менее тысячи человек, уже будет оборотный штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 и не более 500 млн руб. За утечки биометрических персональных данных юрлицо получит штраф от 15 до 20 млн руб. В настоящее время компанию могут оштрафовать только на сумму до 300 000 руб.
Также поправки вводят обязанность компании сообщить в Роскомнадзор об утечке данных в течение 24 часов и о результатах проведенного внутреннего расследования — в течение 72 часов. Если уведомление не направлено, оператора персональных данных могут наказать штрафом в размере от 1 до 3 млн руб.
Что не устроило бизнес
Ассоциация сделала вывод, что законопроект в текущей редакции не достигнет заявленных целей и даже снизит инвестиции в защиту персональных данных. По мнению аналитиков, административная ответственность вводится при фактическом отсутствии вины корпораций. Так, бизнес накажут, даже если он сделал все от него зависящее для защиты данных, но информационную систему взломали хакеры. При этом оборотные штрафы приведут к максимальной финансовой нагрузке на компании с относительно небольшой выручкой.
Также в ассоциации считают, что времени для проведения внутреннего расследования перед сообщением об инциденте в Роскомнадзор недостаточно: организации не успеют разобраться в том, что случилось. Этот срок нужно увеличивать до 30 дней и уменьшить размер штрафа.
Кроме того, смягчение или отсутствие штрафа для компании, которая сделала все необходимое для предотвращения утечек, будет лучше мотивировать бизнес защищать персональные данные, считают в ассоциации. Например, это позволит бизнесу проводить аудиты в сфере информационной безопасности. Такой путь повысил бы защищенность персональных данных и сократил количество утечек.