МОСКВА, 2 декабря. /ТАСС/. Штрафы для компаний, допустивших, в том числе повторно, утечку личной информации, не решат саму проблему, но позволят операторам персональных данных пересмотреть методы обработки и защиты информации, рассказали опрошенные ТАСС специалисты в сфере защиты данных.
Федеральный закон, ужесточающий наказание за утечку личных данных, 30 ноября подписал президент РФ Владимир Путин.
В нормативно-правовой акт вводятся только новые штрафы, требования законодательства о персональных данных (ПД) остаются прежними, считает глава отдела консалтинга и аудита компании Angara Security Александр Хонин. "К штрафам никто не готов, особенно к тем цифрам, которые вводит новый законопроект. И это точно заставит операторов ПД пересмотреть свои взгляды на вопросы обработки и защиты [данных], даже если ранее они этим занимались отчасти", - прогнозирует он.
Раньше на бизнес, кроме малого, штрафы не оказывали воздействия, поскольку составляли 60-100 тыс. рублей, напомнила глава направления консалтинга компании "К2 Кибербезопасность" Ольга Трофимова. Сейчас же максимальное наказание - до 3% от выручки за предыдущий год за повторную утечку, но не более 500 млн рублей. Трофимова назвала эту сумму штрафа "беспрецедентно высокой для законодательства в области ИБ [информационной безопасности]".
Тем не менее, независимый эксперт в этой сфере Артем Сычев считает, что суммы штрафов пока ни о чем не говорят: нужно наблюдать за правоприменительной практикой. Он также полагает, что закон саму проблему утечек не решит. "Но существенно поможет в решении. Как минимум, это дает инструменты для принятия мер для усложнения жизни заказчикам утечек и тем, кто такие утечки организует, - полагает эксперт. - Законопроект опаздывает на два-три года. Его бы надо было принимать еще в 2020 году, а то и раньше".
Эксперты разделились во мнениях относительно реакции отрасли на быстрое принятие закона - его проект был принят Госдумой в I чтении еще 23 января 2024 года, 26 ноября - сразу в II и III чтениях, 27 ноября его одобрил Совет Федерации (СФ), и уже 30 ноября его подписал президент. Сычев после одобрения СФ сказал ТАСС, что в отрасли "испугались". Хонин же не согласился с этим определением, но заявил, что специалисты как минимум "напряглись", даже с учетом того, что закон вступает в силу через 180 дней после его официального опубликования.
Этот же эксперт считает, что положительный эффект от закона есть: компании проведут дополнительную ревизию своих процессов обработки и защиты ПД, а по ее результатам, возможно, будут приняты шаги к совершенствованию. "Другие операторы, которые уделяли недостаточно внимания данному вопросу (или вовсе не занимались ПД - такие кейсы до сих пор встречаются на рынке), возможно, пересмотрят свое отношение к данной теме и наконец-то приведут дела в этом направлении в порядок", - резюмировал Хонин.
О законе
Закон повышает штрафы за обработку персональных данных, не предусмотренную законодательством: за это правонарушение гражданам придется заплатить 10-15 тыс. рублей вместо 2-6 тыс. рублей, должностным лицам - 50-100 тыс. рублей вместо 10-20 тыс. рублей, юрлицам - 150-300 тыс. вместо 60-100 тыс. рублей.
За повторные нарушения - до 30 тыс. рублей для граждан, до 200 тыс. рублей для должностных лиц и до 500 тыс. рублей для организаций. Раньше за это платили до 12 тыс. рублей, до 50 тыс. рублей и до 300 тыс. рублей соответственно.
Вводятся и новые административные наказания, в частности, штраф за незаконную передачу личных данных, сумма которого будет зависеть от количества пострадавших или от объема переданной информации. За утечку данных 1-10 тыс. человек или 10-100 тыс. идентификаторов, гражданам будет грозить штраф до 200 тыс. рублей, госслужащим - до 400 тыс. рублей, организациям - до 5 млн рублей.
Если переданная информация включает данные 10-100 тыс. человек или от 100 тыс. до 1 млн идентификаторов, физлиц будут штрафовать на сумму до 300 тыс. рублей, должностных лиц - до 500 тыс. рублей, а юрлиц - до 10 млн рублей. Если утечка будет еще больше, штраф составит до 400 тыс. рублей, 600 тыс. рублей и 15 млн рублей соответственно.
Отдельные санкции предусмотрены за повторную утечку. Наиболее суровое наказание в этом случае понесут юрлица - для них устанавливаются оборотные штрафы в размере от 1 до 3% суммы выручки, но не менее 20 млн рублей и не более 500 млн рублей. Штраф для физлиц составит до 600 тыс. рублей, для должностных лиц - до 1,2 млн рублей.
Устанавливается штраф за несвоевременное уведомление Роскомнадзора об обработке персональных данных или за отсутствие такого уведомления: для граждан - до 10 тыс. рублей, для госслужащих - до 50 тыс. рублей, а для организаций - до 300 тыс. рублей. Если РКН не уведомляют или несвоевременно уведомляют о неправомерной или случайной утечке, назначается штраф до 100 тыс. рублей для физлиц, до 800 тыс. рублей для должностных лиц и до 3 млн рублей для юрлиц.