Предложение о наказании
Какой может быть альтернатива оборотным штрафам за утечки данных клиентов
Бизнес предложил альтернативу оборотным штрафам за утечки данных клиентов. «Опора России», «Деловая Россия», РСПП и Торгово-промышленная палата направили совместное письмо спикеру Госдумы Вячеславу Володину. Ранее Минцифры разработало законопроект, который предполагает санкции для компаний за такое нарушение от 15 млн руб. до 500 млн руб. Бизнес обеспокоен тем, что диапазон наказания слишком большой и неопределенный, и предлагает вместо него умножать предыдущий размер штрафа на порядковый номер нарушения. Например, если за первый эпизод нужно заплатить 15 млн руб., то за третий — уже 45 млн руб. Подробности — у Александра Мезенцева.
Фото: Петр Кассин, Коммерсантъ
О слишком больших штрафах говорили даже в Минэкономразвития в отзыве на законопроект. На это обращают внимание и четыре главных бизнес-объединения России: наказание за утечку данных может вырасти в 150 раз, а за повторное нарушение — в 1500 раз.
К тому же разработчики законопроекта говорят о минимальной сумме в 15 млн руб. Этот порог для малого и среднего бизнеса станет фатальным, считает предприниматель Алексей Петропольский:
«Обрабатывает у нас персональные данные абсолютно любой бизнес, но вопрос лишь в том, что хранит действительно big data только IT-компания с мегаоборотами.
Если эти данные утекут, то, получается, что организация должна заплатить 15 млн руб. Если даже у компании оборот, допустим, 50 млн руб. в месяц, то штраф в 15 млн руб. будет для нее равен банкротству, потому что доходность такого бизнеса, как правило, от оборота не превышает 5-7%.
Вместе с тем утечка данных у них может произойти в любой момент, от любого человека».
Но и рентабельность крупных компаний часто не превышает 2-4%, подчеркивают в бизнес-объединениях, а, значит, оборотный штраф в 3% может перекрыть всю чистую прибыль.
Кроме того, в письме отмечается, что законопроект в текущем виде предусматривает одинаковые наказания за утечку данных как одного, так и 1 млн клиентов.
Главная проблема — в несоразмерности штрафов, пояснил президент Ассоциации компаний интернет-торговли Артем Соколов:
«Бизнес нанимает подрядную организацию, которая отвечает за сохранность персональных данных и гарантирует, что они никуда не утекут. Она должна брать на себя и все риски, в том числе связанные со штрафами. Именно так сейчас работает рынок.
На сегодняшний день не существует в России подрядной организации, которая бы вот так могла выплатить штраф в 0,5 млрд руб.
Объем рисков, которые, по сути, нужно гарантировать, слишком высок. Вот это должно стать основным предметом обсуждения — соразмерность ответственности реальным нарушениям».
Хотя тяжесть последствий утечек классифицировать непросто. Так, в 2022 году после публикации баз данных сервисов по доставке еды на одном из сайтов можно было с легкостью найти персональные данные их клиентов по номеру телефона.
И речь не только о фамилии и имени людей, но и об их точных адресах и даже кодах от домофонов. После этого «Яндекс. Еда» была оштрафована лишь на 120 тыс. руб.
С тем, чтобы заставить компании более внимательно относиться к данным клиентов, никто не спорит. Но если перегнуть с наказанием, бизнес найдет способ уклониться от него, подчеркнул эксперт в сфере информационной безопасности Игорь Бедеров:
«Первый очевидный шаг — не сообщать об утечках данных. Нас взломали, и мы станем договариваться с хакерами о выплате им денег и о том, что данные не будут опубликованы. Таким образом бизнес не привлекут к ответственности.
Дальше, если штрафы будут назначаться от оборота компании, логично, что появятся новые структуры с небольшим оборотом. И такое уже делается.
Я уже столкнулся с большим количеством крупных холдингов, где создано отдельное ООО, на которое возложена задача по обработке персональных данных. Так что, если его взломают и информация утечет на сторону, оборотный штраф там будет минимальным».
Впрочем, бизнес-объединения предлагают лишь частичное смягчение законопроекта Минцифры, например, отказаться от оборотных штрафов и назначать их в зависимости от чистой прибыли компании. Вместе с тем при систематических нарушениях речь может пойти и об уголовной ответственности.
С нами все ясно — Telegram-канал "Ъ FM".