ПРАВО.ru
Процесс
3 ноября 2023, 18:48

Бизнес предлагает альтернативу крупным штрафам за утечки данных

Ужесточение наказания лучше заменить саморегулированием — принятием отраслевого стандарта и проведением независимого аудита IT-компаний, считают в Ассоциации больших данных.

Скоро Госдума начнет рассматривать проект об усилении ответственности бизнеса за ненадлежащее хранение биометрии. Сейчас максимальный размер санкции за утечки персональных данных граждан не превышает 300 000 руб. Если поправки примут, то за такое нарушение компанию могут оштрафовать на сумму до 20 млн руб. С такой перспективой не были согласны ни бизнес, ни Минэк, предлагавшие разные альтернативы поправкам. Как стало известно Forbes, бизнес решил снова побороться за смягчение мер и предложил властям еще один вариант решения проблемы утечек: принять отраслевой стандарт защиты данных, который включает независимый аудит для IT-компаний на соответствие этому стандарту.

Концепцию разработали в Ассоциации больших данных (АБД), куда входят «Яндекс», VK, Сбербанк, «Газпромбанк», «Ростелеком», МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве и Центр стратегических разработок. В АБД объяснили: чем больше чувствительных данных собирает компания, тем серьезнее будут требования к безопасности инфраструктуры. Концепция определяет надежные подходы к хранению и сбору данных, а также методики улучшения систем информбезопасности. 

За утечки данных бизнес заплатит до 20 млн штрафа

В ассоциации уточнили, что компании смогут добровольно проходить оценку соответствия новому стандарту. В первую очередь будут оценивать их процессы организации и управления защитой данных, политику по защите информации и план мероприятий по отработке угроз. Еще при аудите предлагается изучать, как фирма выявляет уязвимости, реагирует на внештатные ситуации и тренирует персонал. Такой аудит компании должны будут проводить не реже одного раза в год. В Минцифры на это предложение ответили, что порядок обращения с данными уже регулирует закон № 152, а другие инициативы можно рассматривать лишь в формате дополнения к нему. Идею АБД нужно сначала обсудить с другими регуляторами, отраслью и экспертами, добавили в ведомстве.

Идея разработки отраслевого стандарта и иные подобные предложения выглядят разумно, признает Владислав Архипов, старший советник Denuo Denuo Федеральный рейтинг. группа Антимонопольное право группа ГЧП/Инфраструктурные проекты группа Защита персональных данных группа Земельное право группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Морское право группа Недвижимость, земля, строительство (high market) группа Природные ресурсы группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Санкционное право группа Транспортное право группа Фармацевтика и здравоохранение (фармацевтика) группа АПК и сельское хозяйство группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (регистрация) группа Комплаенс группа Налоговое консультирование и споры (консультирование: high market) группа ТМТ (телекоммуникации, медиа и технологии) группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (медицина и здравоохранение) группа Финансовое/Банковское право группа Цифровая экономика группа Частный капитал группа Энергетика 2место По выручке 4место По выручке на юриста 8место По количеству юристов Профайл компании Но, по его мнению, они станут действительно скорее дополнением к итоговому решению. Эксперт объясняет: повышенная ответственность за нарушение обработки биометрии связана с особым характером этих данных. Если их каким-либо образом скомпрометируют, то «сменить» эти данные, как это можно сделать, например, с номером телефона или адресом электронной почты, нельзя. Поэтому от операторов биометрии и ожидают повышенную бдительность, пояснил Архипов.

Строгость предложенных мер ответственности для операторов эксперта не удивляет.

Критику обычно больше вызывали непропорционально низкие штрафы за нарушение в области обработки персональных данных, которые долгое время были стандартом в законодательстве РФ.

Владислав Архипов

Введение высоких или оборотных штрафов за нарушения в области персональных данных, тем более биометрических, уже давно практикуется во многих странах мира, отметил юрист. И вероятность, что ответственность за утечки биометрических персональных данных все же ужесточат, можно считать довольно высокой. Хоть и не все с этим согласны, заключил Архипов.