Персональные данные взяли в оборот
Госдума одобрила ужесточение ответственности за утечки
Госдума одобрила два законопроекта, направленных на ужесточение оборота персональных данных россиян. Подразумевается введение штрафов за сами инциденты для компаний и ответственных лиц, а также уголовная ответственность для тех, кто стоит за утечками. Несмотря на то что работа над поправками велась год, и компании из сектора информационной безопасности, и операторы персональных данных все еще считают, что их интересы до конца так и не были учтены.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Госдума 26 ноября приняла сразу во втором и третьем чтениях два законопроекта, ужесточающие работу с персональными данными в России: поправки к КоАП, закрепляющие оборотные штрафы за утечки данных, и поправки к УК, предлагающие уголовную ответственность за саму кражу данных. Оба проекта были внесены на рассмотрение в декабре 2023 года.
Закон, вводящий штрафы для бизнеса за утечку данных, вступает в силу спустя 180 дней после его официального опубликования, следует их текста проекта, соответственно, он начнет действовать не ранее чем через полгода. В первоначальной версии предлагалось вступление поправок в силу спустя 30 дней. В финальной версии устанавливаются следующие размеры взысканий:
- за утечку до 10 тыс. субъектов данных штраф составит до 400 тыс. руб. для должностных лиц, до 100 тыс. субъектов — до 500 тыс. руб.;
- при утечке данных более 100 тыс. субъектов штраф составит до 600 тыс. руб.;
- штрафы для компаний за повторную утечку персональных данных предусмотрены в размере от 1% до 3% от оборота за год, но не менее 25 млн руб. и не более 500 млн руб.
Добросовестные участники рынка уже давно делают все, чтобы не допустить утечки данных, говорят в Ассоциации больших данных (АБД, объединяет «Яндекс», «Сбер» и т. д.).
«К сожалению, принятая редакция вводит фактический налог на ИБ, и даже после выполнения всех мер по защите данных ответственность наступает независимо от наличия вины оператора данных»,— указывают в АБД.
Второй законопроект вносит поправки к УК РФ, устанавливающие ответственность за незаконные сбор, хранение и оборот данных граждан: за незаконное использование данных предлагается штраф до 300 тыс. руб. или в размере дохода виновного до одного года, либо принудительные работы; в случае утечки данных несовершеннолетних или биометрических данных штраф может достигать 700 тыс. руб., либо в размере дохода за два года или в виде принудительных работ до пяти лет, либо лишение свободы на тот же срок. За кражу данных, которая привела к тяжким последствиям или была проведена группой лиц, вводится максимальное наказание: до десяти лет лишения свободы и штраф до 3 млн руб.
Действия закона «не распространяются на обработку персональных данных физлицами для личных и семейных нужд», сказано в законопроекте.
Незадолго до его принятия представители ИБ-отрасли направляли в Госдуму письмо, в котором предупреждали, что принятие инициативы в текущем виде напрямую может затронуть ИБ-специалистов. Уголовно наказуемо, в частности, создание ресурсов для незаконного хранения такой информации, но проект не предусматривает исключений для компаний, расследующих утечки данных, писали они (см. “Ъ” от 25 ноября).
Руководитель департамента расследований T.Hunter Игорь Бедеров отмечает, что рынок незаконной обработки персональных данных значительно вырос в последние годы. «Закон обоснованно ограничивает обработку данных граждан без их согласия или законного на то основания». Однако «закон ограничивает возможности проведения мероприятий по кибербезопасности, при которых осуществляется анализ инцидентов утечки данных», говорит собеседник “Ъ” на ИБ-рынке. В результате закон, призванный защитить данные, может вылиться в более высокие риски как для компаний, так и для граждан, предупреждает он.
В качестве подготовки к нововведениям компании увеличат расходы на ИБ: будут проводить аудиты, повышать осведомленность работников о мерах по защите, приводить в порядок документацию в данной сфере, считает управляющий партнер юрфирмы Comply Артем Дмитриев. Ведь многое из этого указано в качестве смягчающих обстоятельств при назначении штрафов. Однако, согласно приведенной им судебной практике за 12 месяцев, только пяти компаниям из сорока удалось избежать штрафа за утечку.