Московские новости
Правила игрыДетали

За данные ответят рублем. Минцифры хочет жестче наказывать бизнес за утечки данных клиентов

Новый законопроект увеличит штрафы для компаний, в ближайшее время документ рассмотрят в Госдуме.

Что произошло

Минцифры согласовало проект закона о штрафах для компаний, которые допустили утечку персональных данных пользователей.

Детали

Сейчас в России за утечку персональных данных компании могут оштрафовать максимум на 100 тыс. рублей. Новый закон ужесточит наказание.

Контекст

За разработку законопроекта взялись после массовых утечек данных клиентов «Яндекс.Еды», Delivery Club, Oriflame и лаборатории «Гемотест». 

Что говорят

Эксперты считают, что бизнесу придется вкладывать больше средств в информационную безопасность. А юристы отмечают, что в законопроекте есть существенный пробел.

Что произошло

Минцифры согласовало законопроект о штрафах для бизнеса за утечку персональных данных клиентов. 

  • Документ предусматривает введение оборотных штрафов в размере 1% в случае утечки данных. 
  • По словам источников издания «Коммерсант», штраф вырастет до 3%, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток.
  • Депутаты Госдумы рассмотрят документ в ближайшую неделю.

Детали

В Минцифры считают, что новая мера снизит количество утечек пользователей и повысит степень ответственности бизнеса.

  • Сейчас штраф для юридических лиц за утечку персональных данных составляет от 60 тыс. до 100 тыс. рублей, при повторном правонарушении — до 500 тыс. рублей. 
  • Если новый закон будет принят, штраф за утечку данных клиентов для бизнеса повысится в разы. Например, выручка фудтех-направления компании «Яндекс» («Яндекс.Еда» и «Яндекс.Лавка») в 2021 году составила 9,8 млрд рублей. По новому закону, штраф за утечку для этой компании составит 98 млн рублей. Если же «Яндекс» утаит от Роскомнадзора факт утечки данных, штраф может вырасти в 3 раза — почти до 300 млн рублей.

Предложенные Минцифры меры схожи с принципами GDPR (General Data Protection Regulation), которые действуют в Европе и предусматривают взыскание оборотных штрафов за утечку данных и увеличение их размера в случае неуведомления регулятора.

  • General Data Protection Regulation — Генеральный регламент о защите персональных данных — законодательный документ Европы, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами.
  • Согласно регламенту GDPR, с мая 2018 года ответственность за нарушение правил обработки персональных данных ужесточилась: штрафы достигают €20 млн, или 4% годового глобального дохода компании. 
  • GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Контекст

Разработка законопроекта ускорилась в Минцифры из-за появления в Сети данных клиентов крупных компаний. 

  • В августе 2021 года «Коммерсант» сообщил, что отсканированные паспорта 1,3 млн российских клиентов косметической компании Oriflame выставили на продажу на хакерском форуме. Злоумышленники могли использовать чужие данные для оформления микрокредитов, сим-карт, регистрации в онлайн-сервисах или в телефонных мошенничествах. Позже суд признал компанию виновной в нарушении закона о персональных данных и оштрафовал ее на 30 тыс. рублей.
  • В конце февраля 2022-го зафиксировали масштабную утечку данных клиентов сервиса «Яндекс.Еда». Тогда в открытом доступе оказались данные 58 тыс. пользователей. Любой желающий мог посмотреть их имена, телефоны, адреса, код от домофона и даже сумму трат за последние полгода. В «Яндексе» признали факт утечки, извинились перед клиентами и объясняли, что она произошла по вине одного из сотрудников. В итоге суд оштрафовал компанию на 60 тыс. рублей.

Кроме этого, были зафиксированы утечки и в других крупных компаниях, однако по ним еще нет решения суда. 

  • 20 мая в СМИ появилась информация об утечке базы заказов Delivery Club, содержащей 250 млн строк. В ней находились персональные данные пользователей, включая ФИО, адреса и информацию о заказах. В Delivery Club подтвердили факт утечки и пообещали провести внутреннее расследование.
  • 3 мая Telegram-канал «Утечки информации» сообщил, что в даркнете выставили на продажу базу данных клиентов медицинской лаборатории «Гемотест» — это 31 млн строк, содержащих ФИО, дату рождения, адрес, телефон, электронную почту, а также серию/номер паспорта клиентов. Позже в «Гемотесте» заявили, что компания расследует данный инцидент и ужесточит меры безопасности.

Что говорят

  • По словам главы комитета Госдумы по информполитике Александра Хинштейна, законопроект Минцифры заставит бизнес вкладывать больше средств в развитие систем информационной безопасности. «Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 тыс. рублей за утечку из «Яндекс.Еды» — это насмешка над здравым смыслом», — добавил депутат. 
  • Эксперты отмечают, что оперативное установление факта утечки данных пользователей потребует от компаний дополнительных затрат на соответствующее программное обеспечение. «Если организация не вкладывается в защиту информации, оперативно провести расследование будет значительно сложнее. Часто в таких случаях компания узнает об утечке из СМИ или соцсетей», — добавляют специалисты.
  • По мнению адвокатов, в инициативе Минцифры есть существенный пробел, так как «в российском законодательстве до сих пор нет определения того, что считать утечкой персональных данных». К тому же неясно, кто и как будет подтверждать и классифицировать утечки, уточняют юристы.

Фото обложки: Freepik

Копировать ссылкуСкопировано