Какого размера должна быть утечка персональных данных, чтобы компании грозил оборотный штраф?

Вчера стало известно о новой масштабной утечке персональных данных. На этот раз жертвой хакеров стал сервис CDEK.Shoping и маркетплейс СДЭК.Маркет. До этого утекла в паблик информация миллионов клиентов онлайн-кинотеатра "Старт". И подобные происшествия сейчас случаются почти каждый день. Законодатели всерьез обеспокоены такой ситуацией.

И в ближайшей перспективе цифровым бизнесам будут "светить" оборотные штрафы, если утечка затрагивает данные 10 тыс. граждан или больше. Этот вариант наказания обсуждает рабочая группа при Минцифры. В случае если объем окажется меньше установленного значения, компания также получит штраф, но не оборотный, а фиксированный. Об этом рассказывает РБК.

В апреле глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота. В середине июля Минцифры сообщало, что обсуждаемые положения законопроекта включают следующие:

• штрафы будут применяться в два этапа: за первую утечку штраф будет фиксированным (размер должен зависеть от объема данных), при повторной утечке станет применяться оборотный штраф. Будут установлены границы, "от" и "до" какого процента от выручки можно будет взыскать оборотный штраф;

• будут учитываться смягчающие и отягчающие обстоятельства при определении размера штрафа. Если компания приложила максимум усилий по защите информации, это будет расцениваться как смягчающее обстоятельство, если она скрывала факт утечки — как отягчающее;

• будет определено, как устанавливать вину конкретной компании за утечку данных: как отличить, произошла ли новая утечка или мошенники выдают за нее данные из разных баз, слитых ранее;
  рассматривалась возможность создания специального фонда по аналогии с Агентством по страхованию вкладов, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.

Однако сейчас обсуждается, что оборотный штраф может грозить компаниям в том числе за первую утечку, если она коснулась более 10 тыс. субъектов персональных данных, говорит один из собеседников РБК.

Среди смягчающих обстоятельств, которые позволят снизить штраф вплоть до фиксированного значения в несколько миллионов, он перечислил такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности.

Ранее идею поддержал глава комитета Совета Федерации по конституционному законодательству и госстроительству Андрей Клишас. "Нужны оборотные штрафы", – написал Клишас в своем телеграм-канале. Он пояснил, что такая мера могла бы применяться "к любым фирмам, кто собирает персональные данные граждан". Сенатор заявил об этом как раз на фоне утечки данных 44 млн пользователей онлайн-кинотеатра "Старт".

Крупные IT-компании настаивают, что риски утечек есть независимо от того, как сильно организация вкладывалась в информационную безопасность, и просили смягчить формулировки документа.

Как альтернативу они предлагали трехступенчатую систему наказания за утечки:

1. Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение;
2. В случае повторной компрометации — заплатить крупный штраф;
3. И только при третьей утечке в бюджет придется платить процент от всего оборота.

Еще РБК сообщает, что крупные цифровые бизнесы прорабатывают вопрос создания специального фонда для компенсации ущерба от самих утечек, вызванных ими крупных исков и штрафов.

Читайте также другие новости на тему утечек данных на нашем сайте:

• Delivery Club получил штраф за утечку данных клиентов. Как думаете, на какую сумму?
• Readovka сообщила об утечке персональных данных всех клиентов Wildberries – сам сервис это отрицает
• Обнаружены очередные крупные утечки данных клиентов – на этот раз в СДЭК и Kari
• Яндекс.Еда разрешит пользователям удалять личные данные: все из-за недавней утечки
• Новый закон на подходе: утечки данных клиентов обойдутся компаниям очень дорого
• Стали известны подробности миллионного иска клиентов "Яндекс Еды" из-за утечки данных
• Волна утечек персональных данных с российских сервисов продолжается: теперь Delivery Club
• У Яндекс.Еды утечка: информация о заказах пользователей с личными данными попала в Сеть
• Новая утечка данных клиентов "Яндекс. Еды"? Сам сервис говорит, что это последствия известного февральского инцидента
• На карту с утечками из Яндекс Еды добавили данные, украденные из других сервисов – от Avito до "Билайна"
• Суд оштрафовал Яндекс.Еду за февральскую утечку данных клиентов. Но не сильно
• Россияне готовы предоставлять бизнесу персональные данные – если будет лучше сервис и не будет утечек

Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.