За утечки персданных будут штрафовать, ущерб будут компенсировать
Открывая вебинар "Защита персональных данных", который провел Роскомнадзор 1 марта 2023 г., член президиума Общероссийской общественной организации малого и среднего предпринимательства "Опора России", председатель Консультативного совета при Роскомнадзоре Ирина Алехина заявила, что со стороны общества давно существует запрос на ужесточение ответственности за нарушение законодательства о защите персональных данных и законодатели ему следуют. Только так можно принудить бизнес внедрять эффективные средства защиты и постоянно задавать себе вопрос, а нужно ли ему собирать данные у клиентов, покупателей и заказчиков.
Заместитель директора Департамента обеспечения кибербезопасности Минцифры России Айсалу Бадягина поделилась подробностями работы над ужесточением мер ответственности. В частности, оборотным штрафам будут подвергаться компании в случае повторных нарушений. На объем штрафов будут влиять как смягчающие, так и отягчающие обстоятельства. В числе последних - отказ от уведомления Роскомнадзора об имевших место утечках данных. Также отягчающими обстоятельствами будут считаться большой объем и чувствительный характер скомпрометированных данных. В случае первичных нарушений штраф, как отметила Айсалу Бадягина, будет оставаться фиксированным.
Помимо штрафов, Айсалу Бадягина анонсировала возможность компенсации пострадавшим. Вопросы, связанные с размером штрафов, а также возможностью добровольной компенсации находятся на стадии обсуждения. В ближайшее время в Госдуму будут внесены соответствующие законодательные инициативы.
Как отметил заместитель руководителя Роскомнадзора Милош Вагнер, по итогам 2022 г. наблюдался драматический рост количества утечек персональных данных. Нарушения порядка обработки персональных данных выявлены в ходе половины всех контрольных мероприятий, а при неплановых проверках, поводом для которых обычно являлся инцидент, - в 90% случаев. По результатам проверок составлено 182 протокола, а общая сумма штрафов с нарушителей превысила 50 млн руб. Также заблокировано 364 сайта, где размещались данные о частной жизни людей и "утекшие" персональные данные. При этом действующие размеры штрафов, как подчеркнул Милош Вагнер, слабо мотивируют бизнес бережно относиться к собираемым персональных данным, что и способствовало тому, что началась работа по ужесточению ответственности.
Директор Центра правовой помощи гражданам в цифровой среде ФГУП "ГРЧЦ", заслуженный юрист России Людмила Куровская поделилась статистикой работы структуры. С момента основания в сентябре 2021 г. туда обратилось более 2500 человек. Более половины обращений (52%) связаны с использованием персональных данных людей без их ведома. Также существенное количество обращений граждан, поступающих в Центр, связано с обработкой избыточных личных данных и передачей операторами персданных непоименованному, то есть неопределенному кругу партнеров, что создает возможность раскрытия неопределенному кругу лиц, в том числе в маркетинговых целях. Как отметила Людмила Куровская, такая практика является нарушением не только норм по защите персональных данных, но и обновленного закона о защите прав потребителя. В 16% случаев люди пострадали от мошеннических действий с личными сведениями, в 9% персональные данные без согласования использовались в рекламных целях, 10% граждан защищали свои честь, достоинство и деловую репутацию.
При этом рост мошенничества, как подчеркнула Людмила Куровская, является прямым следствием роста объемов данных, которые оказались в руках злоумышленников в результате утечек. Прежде всего они используются в ходе афер с кредитами. Также эксперт обратила внимание, что украденные персональные данные использовались не только для мошенничества, но и для другой противоправной деятельности. Она привела пример одной жительницы Башкортостана, по паспортным данным которой было зарегистрировано более 80 сайтов, использовавшихся для незаконной деятельности, в частности дистанционной продажи алкоголя.
Еще в декабре 2022 г. глава Комитета Государственной Думы по информационной политике, информационным технологиям и связи Александр Хинштейн назвал основным приоритетом на весеннюю сессию именно борьбу с утечками данных и обещал максимально быстро принять соответствующие изменения в Уголовный кодекс и Кодекс об административных правонарушениях.
https://www.comnews.ru/content/223663/2022-12-23/2022-w51/borba-utechkami-prioritete
Руководитель департамента аудита и консалтинга iPROTECT Роман Писарев на вебинаре "Год персональных данных" подчеркнул, что появление в законодательстве оборотных штрафов за утечки данных - практически решенный вопрос: "В настоящее время идет обсуждение минимальной и максимальной сумм штрафа в процентах от оборота. Поэтому призываем операторов персональных данных подготовиться к этому вопросу уже сейчас. А это значит - внедрить недостающие средства защиты для минимизации риска утечки персональных данных и удостовериться, что все процессы организованы корректно".