Утечку взяли в оборот

29 Ноябрь 2024
Автор: Татьяна Стрижова

Оборотные штрафы за утечку персональных данных приняты Госдумой и поддержаны Советом Федерации. Законопроект направлен на подпись президенту.

Ровно год кипела работа, и вот на этой неделе Госдума и Совфед в едином порыве одобрили и приняли законопроект о введении оборотных штрафов за утечки персональных данных и увеличении ответственности за нарушения, связанные с утечками. Цель законодателей — высокими штрафами стимулировать операторов инвестировать в развитие инфраструктуры безопасности данных.

Законодатель установил тарифные расценки, которые можно изучить в самом законопроекте, но мы хотели бы остановиться на некоторых правовых моментах, а именно на предусмотренных законом градациях ответственности в зависимости от:

— объема строк ПДн в базе данных;
— «ценности» ПДн в базе данных (утечка специальных категорий ПДн и биометрии будет стоить компаниям «дороже»);
— повторности допущенных нарушений.

Также предусмотрены новые виды ответственности:
— за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от идентификации с использованием его биометрии;
— за неуведомление об утечках;
— за нарушения при обработке ПДн в Единой биометрической системе.

Комментарий Татьяны Стрижовой, адвоката и партнера АБ «Бартолиус»:

«Несмотря на широкое обсуждение законопроекта и полярность мнений участников рынка ПДн, не было сомнений в том, что он будет принят.

Представляется, что увеличение штрафов не может рассматриваться как действенный механизм повышения расходов операторов на безопасность, так же как и не может способствовать реальному сокращению числа утечек.

По данным InfoWatch, основной причиной роста числа утечек являются гибридные атаки на инфраструктуру операторов, ставшие возможными благодаря сотрудничеству внешних злоумышленников и сотрудников организаций. Более 99% утечек в России носят умышленный характер — случайные нарушения составляют всего 0,5% инцидентов. Указанное говорит о том, что финансовые стимулы в области информационной безопасности не исключают человеческого фактора, который позволяет «обойти» даже самые строгие технические запреты.

В такой ситуации операторы будут подлежать повышенной ответственности за те риски, которыми они могут управлять в наименьшей степени. Если ранее операторы в таких случаях становились потерпевшими от действий злоумышленников, то после вступления закона в силу они могут быть признаны виновными, если будет установлена причинно-следственная связь между их действиями (или бездействием) и негативными последствиями в виде неправомерной передачи информации.

Содержание действий (или бездействия) будет определяться с учетом требований законодательства о ПДн, а достаточность совершенных действий будет оцениваться в зависимости от конкретных фактических обстоятельств. Таким образом, развитие правоприменительной практики в значительной степени будет зависеть от усмотрения конкретного правоприменителя».

Это интересно

Рейтинги

Партнеры