Законопроект Минцифры об оборотных штрафах за утечки персональных данных порадовал всю правовую общественность. И любой шаг назад видится не иначе, как следствием «переговоров» законотворцев с заинтересованными лицами, заявил корреспонденту ИА REGNUM управляющий RTM Group, эксперт в области кибербезопасности и права в IT-индустрии Евгений Царёв.

TheDigitalWay
Взлом компьютера

«Особенно важны санкции за сокрытие факта утечки — втрое больше, чем за саму утечку, — 1% годового оборота и, соответственно, 3% за сокрытие. Введение подобных штрафов актуально по простой причине — фиксированные суммы крупным компаниям (например, тому же «Яндексу») — заметного беспокойства не причинят. А именно у крупных операторов происходят самые серьёзные инциденты, если смотреть на количество пострадавших граждан и актуальность сведений», — поддерживает основную версию законопроекта эксперт.

Снижение штрафа от годового оборота можно рассматривать как сдачу позиций Минцифры, считает Евгений Царёв. По мнению эксперта, вероятно, разговоры о снижении штрафа пошли «под давлением лобби, к которому, возможно, подключился и Сбербанк, известный огромными утечками и отсутствием ответственности за это».

«Долгое время обсуждалась возможность альтернативного повышения ответственности операторов персональных данных, которая предписывала бы считать утечкой не одну базу данных, а каждого субъекта (то есть гражданина), данные которого утекли. И назначать штраф, даже минимальный, исходя из количества пострадавших. В этой ситуации утечка данных даже тысячи клиентов приведёт к 15-миллионному штрафу, что тоже существенно», — уточняет Евгений Царёв.

Так или иначе, меры, направленные на ужесточение ответственности за нарушение правил защиты, должны ужесточаться, считает эксперт. Евгений Царёв считает, что, помимо штрафов, должна быть также запущена упрощённая процедура привлечения к ответственности, когда по коллективным заявлениям инциденты расследуются «по горячим следам» правоохранительными органами.

«Справедливости ради стоит сказать, что операторы не всегда виновны в утечках: часто имеет место злой умысел отдельного сотрудника, уполномоченного на работу с базами данных и должным образом уведомленного об ответственности, которую не стоит переносить на всего оператора. А это можно предположить при недобросовестном расследовании утечек, особенно если будет подключена «палочная система», — отметил Евгений Царёв.

Как ранее сообщало ИА REGNUM, Министерство цифрового развития Российской Федерации согласовало законопроект, в котором речь идёт о взимании оборотных штрафов с компаний, допустивших утечку персональных данных своих клиентов. Документ находится на стадии обсуждения. В свете недавних утечек данных клиентов интернет-сервисов Delivery Club и «Яндекс. Еды» многие считают, что страх перед крупными штрафами побудит компании тщательнее следить за безопасностью клиентской базы. Но, по данным газеты «Коммерсант», Минцифры рассматривает предложение бизнесменов о внедрении трёхступенчатую системы наказания за утечки. А именно: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она может получить предупреждение; повторная утечка повлечёт крупный штраф; и только в случае третьей утечки будет применён оборотный штраф.