Закон об оборотных штрафах за утечки «засосало» в круговорот критики

'/upload/iblock/0ee/cxnhk4ibukdemg4j2ssbkxaiqovje1dr/doo_c_23_7.jpeg'

Недавно в Минэкономразвития прошло совещание по обсуждению законопроекта об оборотных штрафах за утечки персональных данных, на котором представители нескольких десятков компаний и организаций, как ОАО «РЖД», «Аэрофлот», «Автодор», Российский союз туриндустрии, Федерация рестораторов и отельеров, маркетплейсы, энергетические, медицинские и прочие компании, раскритиковали версию документа. Об этом рассказал источник «РБК», близкий к одному из участников встречи.

Поправки в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс, которые в конце 2023 года внесла в Госдуму группа депутатов и сенаторов, предполагают значительное повышение штрафов за утечки персональных данных – с нынешних ₽100 тыс. до ₽15 млн, если утечка касалась более 100 тыс. граждан, а также возможность назначать оборотные штрафы за повторное нарушение в размере от 0,1 до 3% выручки, но не менее ₽15 млн и не более ₽500 млн.

За незаконное использование, передачу, сбор персональных данных, полученных неправомерным путем; преступления, связанные с трансграничной передачей персональных данных, и т.п. предполагается уголовная ответственность.

На совещании в Минэкономразвития представитель ОАО «РЖД» указал, что компания была объявлена непосредственной целью украинских хакеров и в случае принятия законопроекта в текущем виде вектор хакерских атак может сместиться на информационные системы, в которых хранятся персональные данные компании.

Объем штрафов, полагают в «Аэрофлоте», потребует масштабных инвестиций в средства защиты и что полгода отсрочки для вступления в силу являются «нереальным сроком», для формирования стратегии реализации новых мер потребуется два-три года.

Работа с персональными данными позволяет «Автодору» улучшить сервис и безопасность на платных дорогах, но, если законопроект будет принят в текущем виде, «любой, кто не захочет платить, сможет вовлечь компанию в историю с многомиллионными штрафами».

Представитель Ассоциации цифровой энергетики доказывал, что выполнение новых требований по обеспечению информационной безопасности приведет к существенным затратам, которые лягут на плечи потребителей в виде роста тарифов.

В ГК «Европейский медицинский центр» заявили, что принятие законопроекта может привести к возврату к использованию бумажного документооборота, а также прекратить ряд цифровых проектов, в том числе тестирование телемедицинских технологий.

Объектами нового регулирования, настаивали в Российском союзе туриндустрии, станут туроператоры, подключенные к оформлению электронной путевки, в Федерации рестораторов и отельеров России – что оборотные штрафы будут не под силу средним российским гостиницам, которые относятся к среднему и малому бизнесу.

Представители маркетплейсов опасаются, что средний и крупный бизнес будет пытаться подстроиться под новые нормы, но это может не повысить уровень информационной безопасности. Из-за того, что инвестиции в информационную безопасность не будут считаться смягчающим обстоятельством, некоторым компаниям будет легче отдать деньги вымогателям, чем заплатить оборотные штрафы.

Несколько источников издания из компаний, присутствовавших на совещании, подтвердили, что на нем звучали подобные опасения. По словам одного из них, «законопроект в текущей редакции позволяет привлекать к ответственности организации, добросовестно стремящиеся обеспечить защиту персональных данных клиентов, но они могут стать жертвами хакерской атаки или сбоя программного обеспечения, разработанного сторонней компанией. Предлагаемый размер штрафа может ударить по финансовому положению компании, независимо от ущерба, вызванного утечкой. Кроме того, он не содержит условий, смягчающих ответственность для тех, кто инвестирует в инфраструктуру для защиты персональных данных».

– Сейчас привлечение игроков рынка кибербезопасности к гражданско-правовой ответственности за ненадлежащее качество оказанных услуг и взыскание убытков сопряжено с трудностями. Солидарная ответственность будет стимулировать компании соблюдать законодательство, а профессиональных участников рынка кибербезопасности – оказывать услуги на должном уровне, – пояснил другой собеседник «РБК» в одной из компаний бытовой техники и электроники.

Источник в одной из IT-компаний, присутствовавших на совещании, сказал, что закон должен стимулировать бизнес инвестировать в информационную безопасность, а этого можно добиться исполнимыми смягчающими обстоятельствами, например соблюдением мер в области информационной безопасности, отраслевых стандартов и др.

Замгендиректора Центра стратегических разработок (ЦСР) Екатерина Кваша говорит, что необходимо усиливать контроль за обращением персональных данных и ответственность за их утечку, в этом «кровно заинтересован и сам бизнес», поскольку клиенты могут отвернуться от компании, которая допустила «слив. Вместе с тем важно, чтобы планируемые меры ответственности были соразмерны ущербу и не налагались при правомерном поведении операторов данных. Очевидно, что после выплаты многомиллионного штрафа за одно нарушение многим предприятиям, особенно малым, придется просто закрыться. Также необходимо четко прописать составы правонарушений, чтобы защитить бизнес от умышленных кибератак, в том числе в рамках недобросовестной конкуренции».

Эксперт согласна, что следует предусмотреть «адекватный переходный период» для подготовки к новым требованиям, особенно в условиях того, что многие компании сейчас тратят силы и средства на импортозамещение зарубежного софта.

Напомним, в марте 2024 года Ассоциация банков России обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении. LR