Цена вопроса
Советник юридической компании ЭБР Артем Евсеев о штрафах за утечки данных
В конце мая вступают в силу новые штрафы за нарушение правил работы с персональными данными, согласно принятому в конце прошлого года ФЗ-420. Если раньше максимальный штраф составлял 18 млн руб., то уже этим летом компании могут столкнуться с санкциями до 500 млн руб. Таким образом, максимальный размер штрафов вырос в 27 раз.
Артем Евсеев
Фото: ЭБР
Артем Евсеев
Фото: ЭБР
Сейчас большое внимание привлекает введение оборотных штрафов за утечки персональных данных, но реальную опасность бизнесу несут ужесточенные санкции за другие нарушения. Так, за неправильно оформленное согласие с работником по обработке персональных данных компания рискует получить штраф до 700 тыс. руб., а при повторном нарушении — уже до 1,5 млн руб. При этом судебная практика не дает четкого ответа на вопрос, как именно считать количество нарушений. Например, если работодатель забыл подписать согласия с десятью работниками, суды могут трактовать это и как одно нарушение, и как десять. Сейчас судебная практика допускает оба подхода.
Самая известная поправка — это штраф за утечки данных. Если утечка произошла впервые, штраф может составить до 20 млн руб. в зависимости от типа (биометрия, медицинские сведения и др.) и объема утечки. И здесь сразу возникает вопрос: как считать объем утечки? Законодатель предложил две альтернативные метрики: число людей, чьи данные утекли, и количество идентификаторов. Согласно поправкам, идентификатор — это «уникальное обозначение сведений о физическом лице, содержащееся в информационной системе оператора».
Однако это определение не поясняет, чем конкретно является идентификатор — персональными данными или иным типом информации. Закон определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определенному или определяемому лицу». Но если идентификатор — это уже персональные данные, то возникает вопрос: зачем законодатель ввел новый термин? На наш взгляд, идентификатор — это «фрагмент» информации, который сам по себе недостаточен для определения личности человека, но в сочетании с другими данными способен образовать полноценный массив персональных данных. Например, идентификаторами могут быть ID пользователей, сообщений и т. п. Вероятно, законодатель хотел так упростить подсчет объема утечек.
Еще одна сложность реформы — порядок расчета штрафов за повторные утечки данных. За каждую повторную утечку предусмотрен штраф в размере от 1% до 3% годовой выручки компании от реализации товаров, услуг и работ. Здесь важно понимать, что выручка — это не чистая прибыль. Даже если компания работает в убыток, выручка у нее положительная. Это означает, что даже убыточные компании будут обязаны платить значительные штрафы. Кроме того, в расчет оборотного штрафа не включается выручка от продажи прав на лицензионный контент (программное обеспечение, компьютерные игры, фильмы, сериалы и др.). Таким образом, существенная часть выручки IT-компаний не попадет в базу для расчета. Наконец, размер оборотного штрафа можно снизить, если компания докажет выполнение всех требований законодательства, включая регулярные аудиты персональных данных, выделение части выручки на информационную безопасность.
Таким образом, для компаний наступает критический период, когда необходимо обеспечить privacy-комплаенс: проверку информационных процессов, разработку внутренних документов и внедрение эффективных мер защиты конфиденциальности.
