Утечка персональных данных может обернуться для компаний гигантскими выплатами
Законопроект об оборотных штрафах за такие утечки планируют внести в Госдуму 4 декабря
До 20 миллионов рублей может заплатить компания, если допустит утечку персональных данных, а при повторном нарушении штраф будет зависеть от дохода фирмы. Содержащий такие нормы законопроект планируют внести в Госдуму 4 декабря. Документ могут доработать ко второму чтению, узнала «Парламентская газета». В частности, обсуждаются компенсации для людей, информация о которых попала в открытый доступ, а также создание профессиональных операторов персональных данных.
Миллионы за личные сведения
Пакет законопроектов об усилении ответственности за утечки персональных данных внесут в Госдуму в понедельник, 4 декабря, написал в социальной сети глава думского IT-комитета Александр Хинштейн. Позицию разработчиков документа, по его словам, поддержали Минцифры, Роскомнадзор, эксперты и представители бизнес-сообщества.
«Концептуально обо всем договорились, остался неразрешенным вопрос со снижением ответственности в случае принятых нарушителем мер, компенсации потерпевшим, а также реальных инвестиций в систему своего инфобеза», — отметил Хинштейн.
Разработанный парламентариями законопроект вносит поправки в Кодекс об административных правонарушениях и в Уголовный кодекс. Согласно поправкам, штраф за крупную утечку данных — больше ста тысяч записей — может составить 15 миллионов рублей, анонсировал ранее Александр Хинштейн. А соавтор инициативы первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Ирина Рукавишникова сообщила «Парламентской газете», что законопроект касается также оборота биометрии. За утечку таких сверхчувствительных данных хотят наказывать еще строже: штраф для юрлиц может составить 20 миллионов рублей. В случае повторного правонарушения, если ранее были допущены любые утечки персональных данных, штраф для компаний может составить от 0,1 до 3 процентов совокупного размера суммы выручки за предшествующий год, но не меньше 20 миллионов и не большее 500 миллионов рублей.
Платить или не платить пострадавшим
Бизнес-сообщество, интересы которого в первую очередь затрагивает законопроект, инициативу в целом поддержало, сообщил Александр Хинштейн. Однако, как стало известно «Парламентской газете», ко второму чтению документ могут серьезно доработать. Обсуждается вопрос компенсаций пользователям, чьи данные попали в открытый доступ, рассказал нашему изданию член президентского Совета по правам человека (СПЧ) Игорь Ашманов, присутствовавший на обсуждении инициативы. «Главное, чтобы этот механизм не стал лазейкой для нарушителей, которые избегают ответственности», — отметил специалист.
Ряд представителей IT-бизнеса, критикуя предложения парламентариев, отмечали, что огромное количество персональных данных россиян уже украдено, и таким образом честных бизнесменов могут компрометировать и подводить под штрафы, рассказал Ашманов. Еще один довод предпринимателей: чересчур жесткое регулирование замедлит развитие искусственного интеллекта в России.
Вопрос компенсаций пострадавшим от утечки в подготовленном к внесению законопроекте отражения не нашел, сообщил «Парламентской газете» Александр Хинштейн. Однако с этой инициативой ранее выступило Минцифры, она нашла поддержку в правительственной комиссии по законопроектной деятельности.
Смягчить нельзя наказывать
Персональные данные россиян сегодня собирают все кому не лень, однако одним, как, например, банкам, они действительно необходимы, а другие вполне могут обойтись без паспортных и других данных человека, уверен Игорь Ашманов. Те же скидочные карты магазинов могут быть просто номерными, а не именными. «В связи обсуждался вопрос создания профессиональных операторов персональных данных, — рассказал СПЧ. — Суть в том, чтобы сделать персональные данные чем-то вроде радиоактивных материалов, доступ к которым будет иметь только очень ограниченный круг лиц. Профессиональные операторы будут хранить данные под надежной защитой, а более мелкие компании смогут запрашивать у них необходимые сведения».
Ряд компаний обеспечивают информационную безопасность с помощью подрядных организаций. При этом по логике законопроекта, если произойдет утечка, оштрафуют только головную организацию, а подрядчик так и останется в тени, рассказал «Парламентской газете» президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов. По его мнению, было бы правильным ввести солидарную ответственность обеих организаций.
Настаивают в АКИТ и на включении в документ норм, позволяющих виновникам инцидентов с данными смягчить ответственность. Для этого в каждом случае нужно проводить расследование и устанавливать, явилась ли утечка следствием недостаточного внимания информационной безопасности или были другие причины, не зависящие от компании.
В Ассоциации больших данных (АБД) «Парламентской газете» рассказали, что также поднимали вопрос о смягчении ответственности. «В качестве смягчающего обстоятельства предлагаем обсудить соблюдение отраслевого стандарта защиты данных, который существует в России, — отметили в пресс-службе АБД. — Надеемся, что ко второму чтению проект будет доработан».
Читайте также:
• За незаконную обработку биометрии могут оштрафовать на полтора миллиона рублей
Ещё материалы: Александр Хинштейн