Министерство цифровой политики Российской Федерации предложило ввести персональную ответственность для должностных лиц за утечки персональных данных (ПД) пользователей. Если ранее в законопроекте об оборотных штрафах были предусмотрены штрафы за «слив» ПД только для компаний, то сегодня был добавлен пункт об ответственности руководителей этих компаний.
Таким образом руководители предприятий, в которых были отмечены утечки данных пользователей в размере от 10 тыс. до 100 тыс. субъектов ПД, должны будут заплатить штраф от 200 до 400 тыс. рублей. ИП и юрлица за подобный инцидент должны будут заплатить штраф в размере 0,02% от оборота, но не менее одного миллиона рублей.
Также в рамках обновленного законопроекта российское ведомство предложило ввести штрафы в размере одного до трех процентов от годовой выручки для организации, которая поздно обратилась или не обратилась вовсе в уполномоченные органы по поводу утечки ПД граждан. Такие большие штрафы, возможно, придется уплачивать компаниям, которые допустили утечку данных не менее ста тысячи пользователей. При этом применять оборотные штрафы к организации можно будет в том случае, если утечка базы данных объёмом от 10 тыс. до 100 тыс. записей позволяет определить принадлежность этих данных не менее чем к 1 тыс. конкретных субъектов ПД. Если же в открытую сеть попало более ста тысяч ПД, то необходимо будет определить принадлежность этих данных 1-10 тыс. конкретных субъектов.
Воспользуйтесь возможностью открыть счет в иностранном банке для защиты своих средств. Получите возможность с его помощью расширить линейку финансовых инструментов. Бесплатная консультация по подбору личного банковского счета за границей от наших экспертов.
Стоит отметить, что если была зафиксирована утечка базы данных, но возможность идентифицировать более тысячи субъектов ПД отсутствует, то допустившая такую ситуацию компания оштрафована не будет. Однако в Минцифре не уточнили, каким образом и кто будет проводить проверку этих субъектов.
По мнению экспертов отрасли, введение персональной ответственности за утечку персональных данных может побудить руководителей организаций относиться более ответственно к защите ПД своих клиентов, что в перспективе снизит вероятность слива конфиденциальной информации. Но зачастую руководители попросту не могут в течение небольшого промежутка времени скорректировать или изменить выстроенные до этого бизнес-процессы.
Напоминаем, что ранее Минцифры РФ согласовало законопроект о новых штрафах за утечку персональных данных.
Сегодняшние ужесточения со стороны Минцифры являются логическим шагом, по мнению экспертов, так как трансформируются подходы организаций в вопросах защиты персональной информации, а это приводит к изменению уровня ущерба от киберугроз. Размер штрафов за подобные нарушения в западных компаниях, например, составляет 4%. Но там наказываются не только «сливы» ПД клиентов, но и другие просчеты в этой сфере. Одним из самых крупных штрафов на сегодняшний день считается штраф в размере $877 млн, который был наложен на компанию Amazon за то, что на ее сайте отсутствовал блок с согласием пользователей на использование файлов-куков.
Эксперты также считают, что брешь в законодательстве необходимо нивелировать как можно быстрее, так как сегодня максимальный штраф за утечку персональных данных составляет до 100 тыс. рублей, а суды и вовсе уменьшают его до 60 тыс. Поэтому компаниям пока что экономически выгоднее разово заплатить штраф, чем держать в штате специалиста, заработная плата которого будет обходиться в несколько раз больше. Введение оборотного штрафа также позволит небольшим организациям выстоять в случае утечки ПД и наложение штрафа.
Подход по оборотным штрафам должен одинаково замотивировать как большие компании, так и мелкие обращать пристальное внимание на защиту персональных данных своих клиентов.
