Оборотные штрафы за утечку персональных данных могут составить 1% от выручки

Это в миллионы раз выше, чем штрафы, которые сейчас платят за это крупные компании
«О какой безопасности данных можно говорить, когда компания за утечку адресов, телефонов, кодов от домофона и т. д. заплатила 60 000 руб.?» – рассуждает эксперт
«О какой безопасности данных можно говорить, когда компания за утечку адресов, телефонов, кодов от домофона и т. д. заплатила 60 000 руб.?» – рассуждает эксперт / Максим Стулов / Ведомости

Размер оборотного штрафа для компаний за утечку персональных данных может составить 1% от их годового оборота. Об этом «Ведомостям» рассказал директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин в ходе брифинга на форуме по кибербезопасности Positive Hack Days. По его словам, ведомство сейчас обсуждает такую ставку.

«Вопрос утечек в последние месяцы очень острый. <...> Мы хотим ввести оборотные штрафы в ближайшей перспективе, до конца этого года. По нашему мнению, оборотный штраф должен быть очень большой, 1% от годового оборота», – сказал Бенгин.

По его словам, Минцифры обсуждало возможность снижения штрафа, если компания исполняла требования по информационной безопасности, но отказалось от этой идеи. «Если ты допустил утечку, ты однозначно виноват независимо от того, соблюдал ты требования формально или нет», – объяснил Бенгин.

В феврале 2022 г. стало известно, что Минцифры поддерживает оборотные штрафы для допустивших утечку операторов персональных данных, это обсуждалось на круглом столе в Совете Федерации. В апреле министр Максут Шадаев заявил, что Минцифры и Роскомнадзор в этом году внесут инициативу в Госдуму.

Сейчас штраф для юрлиц за утечку данных по ст. 13.11 КоАП составляет от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. Например, за мартовскую утечку данных клиентов (имена, адреса доставки, контактные данные, суммы заказов за полгода) «Яндекс.Еда» была оштрафована на 60 000 руб. Компания объяснила утечку недобросовестными действиями сотрудника. В августе 2021 г. хакеры выставили на продажу более 1,3 млн сканов паспортов клиентов Oriflame, компанию оштрафовали на 30 000 руб.

Представитель Group-IB заявил, что в России оборотный штраф в 1% от выручки может выступать исключительно как максимальная граница в случае большого числа отягощающих факторов (например, отсутствия действий для минимизации ущерба или нежелания сотрудничать с надзорным органом по утечке). «Без учета соразмерности размер штрафа в 1% от годового оборота неприемлем, так как в этом случае акцент с оценки вреда субъектам персональных данных смещается в сторону того, как сильнее наказать компании», – добавляет он.

Гендиректор компании «Киберполигон» Лука Сафонов, напротив, считает, что 1% от годового оборота – это небольшой штраф. «Персональные данные стоят гораздо дороже. В Европе были прецеденты, когда пострадавшие добивались многомиллионных выплат от компаний. А «Яндекс» в качестве извинения перед пользователями начислил бонусные баллы. О какой безопасности данных можно говорить, когда компания за утечку адресов, телефонов, кодов от домофона и т. д. заплатила 60 000 руб.?» – рассуждает эксперт.

Представитель Group-IB привел в пример европейский регламент по защите персональных данных EU GDPR, который предусматривает штраф до 2 или 4% от годового мирового оборота за предыдущий финансовый год в зависимости от нарушения. Эти проценты являются максимальными, при расчете штрафа регуляторы определяют его соразмерность нарушению, учитывая смягчающие и отягощающие факторы, поясняет он.

По словам Бенгина, Минцифры также планирует разработать закон, который обяжет компании уведомлять об утечке персональных данных, при этом штраф за неуведомление будет крупнее, чем за утечку. «Утечки очень сложно скрыть. Это будет дополнительный стимул ответственно подойти к информбезопасности», – подчеркнул чиновник.

Сейчас докладывать об утечках предлагают дважды – Роскомнадзору и ГосСОПКА, объясняет главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян. Второе, по его словам, кажется избыточным, так как произойдет «приравнивание операторов персональных данных к операторам критической информационной инфраструктуры, где есть свои требования к оборудованию, организации непрерывного канала связи и защите». В какой момент компания должна сообщить о факте утечки, пока непонятно, добавляет он.

Казарян считает, что оборотные штрафы коснутся в основном крупных игроков: «Законодательство о персональных данных у нас работает по принципу «где светло, там и ищем». Крупные компании на виду, они активно внедряют меры защиты, подают массу документов, проводят проверки. Мелкие компании, по сути, не делают ничего».

18 мая в сети появилась новая версия сайта с утекшими данными клиентов «Яндекс.Еды», они были дополнены данными ГИБДД, СДЭК, Wildberries, Avito, «Билайна» и других источников. Создатели сайта объяснили решение сделать новую версию тем, что «конфиденциальность не ценится», а «множество личных данных было незаконно выложено в сеть».

В Avito РБК сообщили, что утечки не было, а вся информация на сайте – парсинг публичных данных. Представитель СДЭК предположил, что для новой «карты» могли использовать данные, выложенные в конце февраля, «когда СДЭК и многие другие российские компании и учреждения оказались объектами хакерских атак». Представители Wildberries и Delivery Club заявили, что информация об утечке не подтвердилась. МВД также опровергло утечку из баз ГИБДД. Роскомнадзор написал в своем Telegram-канале, что заблокировал ресурс, и обещал проверить информацию о возможных новых утечках.