МОСКВА, 7 августа. /ТАСС/. Ассоциация больших данных (АБД) считает, что законопроект, которым ужесточается ответственность за утечки персональных данных, в нынешнем виде приведет к снижению инвестиций в IT-отрасль и не достигнет своих целей. Об этом говорится в отзыве ассоциации за подписью ее президента Анны Серебряниковой, направленной в адрес замминистра цифрового развития РФ Александра Шойтова.
"Полагаем, что законопроект в предложенной редакции не достигнет своих целей, а приведет к снижению инвестиций в отрасль информационных технологий. Законопроектом предполагается безвиновная ответственность операторов персональных данных даже в случае выполнения всех разумных требований к защите данных", - сказано в письме.
Кроме этого, в АБД указывают, что законопроект не предусматривает стимулы для участников рынка повышать безопасность обработки персональных данных и принимать дополнительные меры для их защиты. Также, согласно отзыву, термины, которые используются в законопроекте рассинхронизированы с законодательством о персональных данных, что препятствует внедрению передовых методов защиты данных. "Представляется также несправедливой методика расчета оборотных штрафов, которая не учитывает объем выручки на рынке, на котором произошло нарушение, а считается от оборота компании в целом, что создает максимальную финансовую нагрузку на компании с относительно небольшой выручкой", - добавили в ассоциации.
Что предлагается
Так, в ассоциации считают завышенным размер штрафов за то, что компания вовремя не сообщила в Роскомнадзор о произошедшей утечке, и предлагают снизить размер в 5-10 раз. Также предлагается сохранить основной критерий для определения масштабов утечки и размеров штрафа, проводя расчет по числу затронутых субъектов персональных данных. "Параметры оборотных штрафов имеют крайне регрессивный характер: доля штрафа снижается по мере увеличения размера выручки. Считаем целесообразным обеспечить дифференциацию штрафов в зависимости от выручки оператора персональных данных на соответствующем товарном рынке", - отметили в ассоциации.
Кроме того, ассоциация предлагает стимулировать операторов персональных данных инвестировать в информационную безопасность посредством аудитов на соответствие повышенным требованиям, а государство должно взять на себя обязательства смягчать либо исключать ответственность оператора в случае утечки при условии соответствия обязательным требованиям. Такой подход, как считают в ассоциации, позволяет существенно повысить защищенность персональных данных и сократить количество утечек.
Вместе с тем в АБД указали на необходимость дополнения законопроекта оговоркой, которая отделяла бы утечку персональных данных от обработки данных, раскрытых неопределенному кругу лиц самим субъектом персональных данных или с его согласия, поскольку в отсутствии такой оговорки проект влечет существенные риски для сервисов мгновенных сообщений, социальных сетей и прочих организаторов распространения информации, а также компаний, обязанных раскрывать персональную информацию отдельных работников. "Доказать отсутствие утечки в случае компиляции "общедоступных" данных пользователей затруднительно. В то же время такие компиляции в подавляющем большинстве случаев считаются правомерно собранными с точки зрения действующего гражданского законодательства. Таким образом, оператор, с одной стороны, несет риск квалификации компиляции общедоступных материалов как утечки, с другой - лишен возможности компенсировать свои судебные и иные расходы с лиц, скомпилировавших данные", - заключаются авторы письма.
О законопроекте
Ранее президент России Владимир Путин поручил рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, в срок до 1 июля 2023 года. В декабре 2022 года глава Минцифры РФ Максут Шадаев сообщал, что министерство подготовило законопроект, согласно которому штраф может составить до 3% от оборота компании. Шадаев подчеркивал, что финальная версия документа уже готова.