Версия для слабовидящих
Сейчас законопроект предполагает введение штрафов в зависимости от объема утекшей информации и ее чувствительности для владельца (категории данных). За утечку данных о 1000–10 000 субъектов штраф для юрлиц составит до 5 млн рублей, о 10 000–100 000 субъектов – до 10 млн рублей, более чем о 100 000 пользователей – до 15 млн рублей. За повторное нарушение штраф будет зависеть от оборота компании, но он будет ограничен 500 млн руб. Сейчас размер санкции за первое нарушение составляет 100 000 руб.лей за второе – 300 000 рублей.
«ОПОРА РОССИИ» считает, что предложенные суммы штрафов критически высоки для бизнеса за «фактически отсутствующий состав правонарушения». Даже если предприниматель выполнил все требования по защите данных, но утечка все равно произошла, он подлежит привлечению к ответственности. Сейчас ни одна инфраструктура информационной безопасности не способна обеспечить полную защищенность хранимых данных, отмечается в письме. Например, в случае взлома или хакерской атаки бизнес все равно должен уплатить штраф.
Кроме того, злоумышленники могут украсть базу данных и публиковать ее частями, что приведет уже к оборотным штрафам для компании. Указанный размер санкций несопоставим со степенью и размером вреда, а также несравнимо больше, чем за другие административные правонарушения, связанные с угрозой жизни и здоровью, пишет Калинин. В частности, максимальный размер штрафа (500 млн рублей) в 8 раз превышает действующие в КоАПе сейчас (60 млн рублей). Слишком резкое повышение штрафа может нанести серьезный урон компаниям с низкой маржинальностью, считают в «ОПОРЕ РОССИИ». Предлагаемая шкала штрафов усложнит ведение бизнеса МСП, говорится в письме.
Что нужно изменить
В деловом объединении считают, что нужно обеспечить должную правовую определенность в вопросе о том, за какое именно деяние будет ответственность. Например, можно предусмотреть, что она наступает только в случае непринятия предусмотренных мер или принятия неадекватных выявленным угрозам мер.
Также бизнес просит дополнить документ оговоркой, которая отделяла бы утечку данных от их обработки. Например, если действия самого субъекта привели к разглашению, изменению или удалению персональных данных – в частности, при нарушении режима обеспечения сохранности паролей и логинов на ресурсах оператора. Иначе это влечет риски для сервисов, которые организуют размещение информации в свободном доступе, а компиляция этих данных выдается за утечки, говорится в письме. Доказать обратное, в случае если сведения общедоступны, сложно, обращает внимание «ОПОРА РОССИИ».
Кроме того, необходимо смягчить требование о подаче уведомления в Роскомнадзор в течение 24 часов, считает бизнес. Еще одно предложение по корректировке законопроекта – это отсрочка вступления нормы в силу: не с 1 января 2025 года, как предлагается законопроектом, а с 1 января 2026 года. Сейчас персональные данные есть практически у любого бизнеса, будь то промышленная или аналитическая компания, отмечает глава Комитета «ОПОРЫ РОССИИ» по развитию предпринимательства на цифровых платформах Дмитрий Гавриленко.
«Например, у бизнеса есть база данных его клиентов. Если она утечет, то формально компания подпадает под действие этой статьи. То же самое касается контрагентов и персонала, который работает на предпринимателя», – указывает он.
Основное предложение – исключить МСП из-под действия нормы или предусмотреть более мягкую дифференциацию штрафов, добавляет Гавриленко. «Когда данные утекают у небольших компаний, это не так чувствительно, как если это утечка IT-гигантов», – поясняет он.
Мораторий на наказание
Законопроект предусматривает ответственность в виде штрафных санкций за факт утечки баз данных у любых субъектов бизнеса, т. е. санкции равны как для микропредприятия, так и для крупного бизнеса, при этом санкция накладывается даже в том случае, если компания приняла все зависящие от нее меры, но утечка все равно наступила, отмечает управляющий партнер экспертной группы Veta Илья Жарский. Для микропредприятия со средним доходом, например 11 млн руб. в год, оборотный штраф, допустим, 100 000 руб. является критичным, а при повторной утечке он может составить и все 300 000 рублей, указывает он. С учетом того что маржинальность такого бизнеса не может быть высокой, целая категория небольших бизнеспредприятий в случае многократных хакерских атак будет нести чрезмерную правовую ответственность, соглашается он с авторами письма.
«Логика именно в том, чтобы создать более справедливые условия, так как даже минимальность штрафа в условиях турбулентности экономики и дорогих кредитов для поддержания бизнеса может создать ситуации, в которых малый и микробизнес окажутся в неравных условиях с более крупными, но при этом будут нести одинаковую ответственность за утечки», – говорит Жарский.
С другой стороны, введение наказаний за утечку персональных данных – это в любом случае положительный шаг, считает генеральный директор резидента «Сколково», разработчика ИТ-решений «Делись» Иван Линдберг. Бизнес начал нести бо́льшую ответственность за обращение с данными клиентов, отмечает он. «Однако обратная сторона – бизнес был не готов к такому, у многих инфраструктура сильно отстает от современных стандартов безопасности, а политики доступа к данным либо отсутствуют, либо соблюдаются халатно. Отсюда возникает парадокс, что закон есть, а данные продолжают утекать в сеть каждый день», – рассуждает он. Послабление наказания может расслабить всех, кто только стал ответственнее относиться к охране персональных данных, однако в введении моратория на наказание действительно есть смысл, продолжает Линдберг. Бизнесу нужно время, чтобы подстроиться, и, вместо того чтобы начинать платить штрафы, лучше эти деньги пустить в усиление инфраструктуры, а значит, сделать защиту персональных данных надежнее, отмечает он.
«В итоге мы приходим к тому, что ответственный бизнес должен стремиться быть защищенным. И если утечка данных – это не чья-то злонамеренная атака, а безответственность, то и наказание должно быть соответствующим», – резюмировал Линдберг.
Источник: Ведомости
Фото: Freepik
