Скоро Госдума начнет рассматривать проект об усилении ответственности бизнеса за ненадлежащее хранение биометрии. Сейчас максимальный размер санкции за утечки персональных данных граждан не превышает 300 000 руб. Если поправки примут, то за такое нарушение компанию могут оштрафовать на сумму до 20 млн руб. С такой перспективой не были согласны ни бизнес, ни Минэк, предлагавшие разные альтернативы поправкам. Как стало известно Forbes, бизнес решил снова побороться за смягчение мер и предложил властям еще один вариант решения проблемы утечек: принять отраслевой стандарт защиты данных, который включает независимый аудит для IT-компаний на соответствие этому стандарту.
Концепцию разработали в Ассоциации больших данных (АБД), куда входят «Яндекс», VK, Сбербанк, «Газпромбанк», «Ростелеком», МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве и Центр стратегических разработок. В АБД объяснили: чем больше чувствительных данных собирает компания, тем серьезнее будут требования к безопасности инфраструктуры. Концепция определяет надежные подходы к хранению и сбору данных, а также методики улучшения систем информбезопасности.
В ассоциации уточнили, что компании смогут добровольно проходить оценку соответствия новому стандарту. В первую очередь будут оценивать их процессы организации и управления защитой данных, политику по защите информации и план мероприятий по отработке угроз. Еще при аудите предлагается изучать, как фирма выявляет уязвимости, реагирует на внештатные ситуации и тренирует персонал. Такой аудит компании должны будут проводить не реже одного раза в год. В Минцифры на это предложение ответили, что порядок обращения с данными уже регулирует закон № 152, а другие инициативы можно рассматривать лишь в формате дополнения к нему. Идею АБД нужно сначала обсудить с другими регуляторами, отраслью и экспертами, добавили в ведомстве.
Идея разработки отраслевого стандарта и иные подобные предложения выглядят разумно, признает Владислав Архипов, старший советник Но, по его мнению, они станут действительно скорее дополнением к итоговому решению. Эксперт объясняет: повышенная ответственность за нарушение обработки биометрии связана с особым характером этих данных. Если их каким-либо образом скомпрометируют, то «сменить» эти данные, как это можно сделать, например, с номером телефона или адресом электронной почты, нельзя. Поэтому от операторов биометрии и ожидают повышенную бдительность, пояснил Архипов.
Строгость предложенных мер ответственности для операторов эксперта не удивляет.
Критику обычно больше вызывали непропорционально низкие штрафы за нарушение в области обработки персональных данных, которые долгое время были стандартом в законодательстве РФ.
Введение высоких или оборотных штрафов за нарушения в области персональных данных, тем более биометрических, уже давно практикуется во многих странах мира, отметил юрист. И вероятность, что ответственность за утечки биометрических персональных данных все же ужесточат, можно считать довольно высокой. Хоть и не все с этим согласны, заключил Архипов.