HennisonVsop
Опытный user
- Регистрация
- 12 Мар 2021
- Сообщения
- 711
- Реакции
- 25
В Российском союзе промышленников и предпринимателей (РСПП) предложили не штрафовать за утечки операторов персональных данных (ПД) с современными системами защиты. Там считают, что законопроект Минцифры о введении штрафов за утечки ПД должен стимулировать работу в области информационной безопасности, а не нести репрессивный характер, так как компании начнут приспосабливаться, дробить бизнес и избегать штрафов, а не утечек.
Эксперты РСПП считают, что:
- предлагаемый подход с оборотными штрафами не позволит эффективно бороться с утечками персональных данных и одновременно создаст высокие риски для добросовестных участников рынка;
- введение высоких оборотных штрафов приведёт к сокращению инвестиций бизнеса в информационную безопасность вместо ожидаемого их повышения, а также при неучёте сферы ведения и географии деятельности – к рискам банкротства компаний;
- создаются предпосылки для повышения давления на такие компании, прежде всего, как субъекты критической информационной инфраструктуры, со стороны хакеров недобросовестных конкурентов и недружественных государств;
- в случае введения оборотных штрафов можно предположить начало массового «дробления» компаний в целях минимизации штрафов;
- нужно предусмотреть состав правонарушения таким образом, чтобы ответственность наступала исключительно в случае непринятия или принятия неадекватных выявленным угрозам безопасности, характеру обработки, объёму и чувствительности обрабатываемых данных, тяжести последствий для субъекта персональных данных технических, организационных и правовых мер защиты информации операторов персональных данных, что повлекло утечку персональных данных;
- штрафы и административные меры должны быть основаны на анализе лучших решений и технологий в области информационной безопасности в России. Если оператор персональных данных их в полном объёме выполняет, но утечка персональных данных происходит, то оборотный штраф не может применяться (в том числе за повторную утечку);
- базу оборотного штрафа необходимо исчислять с учётом текущей практики введения оборотных штрафов по иным правонарушениям. Если нарушение требований безопасности персональных данных повлекло утечку в процессе обработки данных, которая непосредственно связана с осуществлением предпринимательской деятельности и получением дохода, оборотный штраф может исчисляться исходя из этого дохода с учётом территории, на которой выявлено нарушение;
- необходимо разработать подходы к добровольному внесудебному возмещению вреда субъектам персональных данных в случае утечки их данных, однако требования к такому возмещению должны формироваться не на законодательном уровне, а в рамках саморегулирования.
Проблема в том, что только с начала 2022 года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
