Проект закона, вводящего оборотные штрафы для бизнеса за утечки персональных данных пользователей, примут до конца года, заявил 19 сентября заместитель председателя комитета Госдумы по информполитике, связи и IT Андрей Свинцов в ходе пленарного заседания конференции по информбезопасности BIS Summit 2024. При этом он сообщил, что срок самого вступления в силу закона может быть отложен в зависимости от готовности бизнеса к регулированию.
«Принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года»,- сказал Андрей Свинцов. Однако есть риск, что компании, работающие с персональными данными, «начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет по итогу на потребителя».
С другой стороны, рассказал Андрей Свинцов, «мы понимаем, что бизнес будет вынужден выделить сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны». До сих пор нет четкого определения, что в таком случае считать оборотом компании - выручку холдинга, отдельного бренда или непосредственно компании-оператора данных. В комитете Госдумы по информполитике “Ъ” дополнительно не ответили, в Минцифры обсуждаемые вопросы комментировать не стали.
Законопроект о штрафах за утечки депутаты во главе с руководителем комитета по информполитике Александром Хинштейном внесли на рассмотрение в декабре 2023 года, принята текущая версия в первом чтении была в январе. Максимальный штраф для юрлиц, допустивших утечку, составит 0,1–3% выручки за год, но не более 500 млн руб. На 19 сентября, по данным Роскомнадзора, было зарегистрировано более 923 тыс. операторов персональных данных.
В сети продолжают расти утечки информации, в 2024 году все чаще ими становятся именно данные компаний. По информации F.A.С.С.T. (ранее Group-IB), на теневых форумах за первые полгода были опубликованы данные 150 компаний, которые до этого нигде не появлялись, а годом ранее таких было 119. Но утечки также содержали персональные данные сотрудников (см. “Ъ” от 23 июля).
В России по итогам первого полугодия перераспределилась доля утечек в финансовом секторе
«Что касается использования небольших организаций, обеспечивающих обработку персональных данных в пользу больших организаций, это может быть применимо не только для ухода от штрафов, но и для упрощения процедур хранения»,- допускает глава комитета по ИБ Ассоциации российских банков Андрей Федорец. Все же окружить контуром безопасности небольшую инфраструктуру существенно проще, чем крупную организацию, объясняет он.
Редакция законопроекта, принятая в первом чтении, нуждается в доработке: уточнении состава правонарушения и дополнении смягчающими обстоятельствами, стимулирующими к мерам повышения безопасности, считают в Ассоциации больших данных (АБД, объединяет «Сбер», «Ростелеком», «Яндекс» и другие крупные IT-компании).
«Пока версия проекта стимулирует исключительно к необходимости заложить бюджет на штраф»,- признают в АБД.
Скорее всего, в законе будет предусмотрена ответственность группы лиц, что потенциально позволит привлекать к ней все компании, входящие в группу, объясняет юрист Comply Артем Сафьянников.