Штрафы за утечку данных в России

Основные статьи:

• Закон о персональных данных №152-ФЗ
• Утечки данных в России
• Штрафы в России

2024

Российские банки просят Минцифры отменить оборотные штрафы за повторную утечку информации

В начале марта 2024 года Ассоциация банков России (АБР) обратилась в Минцифры с предложением отменить оборотные штрафы за утечку информации при повторном нарушении. Участники рынка называют данную меру дискриминационной, поскольку у государственных учреждений нет оборота, а поэтому наказание для них не является действенным.

Оборотные штрафы представляют собой крупные денежные взыскания, исчисляемые определенной долей от оборота компании или организации за тот или иной период. АБР считает, что подобная мера наказания является нарушением конституционного принципа равенства всех перед законом и судом. Дело в том, что у госучреждений нет оборота в отличие от коммерческих структур. А поэтому с госорганизаций взыскать такой штраф попросту невозможно. Вместе с тем в обращении АБР приводятся примеры, когда утечки происходили именно из государственных и муниципальных учреждений.

Unsplash

Говорится также, что оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и ИТ-отрасли в целом». Дело в том, что банки взаимодействуют со многими сервисами и во всех случаях происходит обмен файлами в автоматическом режиме. Таким образом, при проникновении в систему одного из участников обмена «велика вероятность заражения или кражи данных у других участников».

Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.5 т

Исполняющий обязанности президента АБР Алексей Войлуков говорит, что ситуация, когда для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, «представляется несправедливой». Более того, организация, получив подобный штраф, может направить регрессивный иск компании-поставщику, у которой было приобретено программное обеспечение, ставшее причиной утечки. Огромные штрафы для таких компаний могут обернуться банкротством.^[1]

Как обязать операторов персданных страховать риски утечек, не «убив» бизнес. В Совфеде обсудили новый законопроект

В России разрабатывается законопроект о системе страхования на случай утечек персональных данных. Документ направлен на борьбу с утечками: по задумке авторов, он обяжет компании, которые занимаются персданными, иметь у себя финансовое обеспечение для возмещения ущерба гражданам в случае утечек.

Основная суть, цель этого законопроекта в первую очередь — это финансово обеспечить выплату ущерба субъектам персональных данных, повысить уровень защищенности их прав, сделать так, чтобы компании серьёзнее относились с защите своих информационных ресурсов. И важная деталь — предотвратить излишний сбор компаниями персональных данных, которые им, в принципе, не нужны, — пояснил один из авторов законопроекта, член комитета Совета Федерации по конституционному законодательству и государственному строительству, зампред совета по развитию цифровой экономики Артем Шейкин.

Благие намерения всем понятны, но регуляторы и игроки рынка имеют разное видение, каким должен быть этот законопроект. 22 февраля это обсудили в Совете Федерации.

Совет Федерации

Сейчас оператором персданных в России является любая организация, обрабатывающая персданные, независимо от её размера и количества данных, которые она обрабатывает. Предлагаемый механизм, который обязывает каждого оператора иметь страховку или иные финансовые механизмы, нужно адресовывать тем компаниям, которые обрабатывают значительные объёмы персданных — например, от 100 тыс. записей или от 1 млн, считают в Роскомнадзоре. Такое предложение обусловлено тем, чтобы не потребовать несоразмерных усилий по финансовых гарантий от таких организаций, как управляющие компании или детские сады, пояснил замруководителя Роскомнадзора Милош Вагнер.

В ведомстве полагают, что к таким операторам было бы правильно предъявить не только требования страхования рисков, связанных с утечками персданных, но и предусмотреть механизм специальной аккредитации такого рода компаний и увязать обязанность такой аккредитации с размером возможного административного наказания, предусмотренного другим законопроектом — об оборотных штрафах за утечки.

Страховать нужно не только риски, связанные с компенсацией морального вреда и иных прав субъектов персональных данных, но и чтобы у операторов, которые обрабатывают значительное количество данных, была возможность заплатить административный штраф. Чтобы не было ситуаций, когда мы приняли закон, предусматривающий ответственность до 15 млн рублей, а компания обрабатывает большие объёмы данных и в случае утечек ничего, кроме банкротства или ликвидации ничего не может предложить, — отметил Милош Вагнер.

Одна из идей, прозвучавших на обсуждении от участников, связана с тем, что страхование — это дополнительный административный барьер. И в то время, как мы стремимся в цифровое общество и развиваем технологии, он станет дополнительным бременем для небольших компаний. Можно было бы установить барьер, чтобы положения нового законопроекта не касались субъектов малого предпринимательства. Более того, есть идея и вовсе не относить малый бизнес к операторам персданных. Впрочем, со стороны регуляторов это поддержки пока не получило. В Роскомнадзоре занимают позицию, что утечки персданных — это крайне серьёзно, они могут повлиять на всю жизнь человека.

Президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев заявил, что страховое сообщество поддерживает инициативу по страхованию кибер-рисков, и что гарантии гражданам, чьи данные были использованы для нанесения им ущерба, должны быть обеспечены. Но во Всероссийском союзе страховщиков считают, что необходимо совершенствование этой инициативы в рамках представленного законопроекта.

Например, необходимо зафиксировать точные определения, а также лимиты и страховые суммы, иначе может возникать проблема, связанные с широким трактованием всех понесённых расходов. Также необходимо более чётко зафиксировать, чья ответственность страхуется. Должна быть какая-то классификация операторов, т.к. чувствительность утечки разных персданных разная: если утекли данные только с телефоном и местом жительства — это одно, а если данные, связанные с жизнью и здоровьем человека, с финансами, то это другой уровень чувствительности, пояснил Евгений Уфимцев.

Третий вопрос — нужно чётко определить позицию, что является страховым случаем: сам ли факт утечки или обращение людей, нанесение им ущерба или какие-то другие параметры. Без этого тоже может возникнуть проблема: появление каких-то данных в открытых источниках не всегда является подтверждением факта утечки и нанесения вреда человеку.

Вице-президент «Ростелекома» по ИБ Игорь Ляпунов на заседании в Совете Федерации заметил, что оборотные штрафы и законопроект о страховании рисков — это «колоссальный шаг, революция в защищённости персональных данных». Но он обозначил два вызывающих беспокойство момента. Первое, если говорить об оборотных штрафах, — это способ доказательства, что у оператора персданных произошла утечка. Сейчас здесь фактически действует презумпция виновности: регулятор говорит, что у компании утекло, выписывает предписание, и дальше компания должна доказать, что это утекло не у неё.

Что касается страхования рисков, непонятно, как оценить стоимость одной строчки персданных. Как её оценивать — это значимый фактор, т.к. от этого зависит, в каком объёме должно возникать финансовое обеспечение, и оно не должно быть запредельным, как, например, обеспечение в 500 млн рублей на 500 тыс. персональных данных. Для современных ИТ-компаний, которые работают на В2С-рынке, собрать на 100-500 тыс. персданных — это не много. И если наступит ответственность на 500 млн, то можно этот бизнес угробить, отметил Игорь Ляпунов.

Другой момент — в каком виде должно быть финансовое обеспечение. Любые формы, кроме страхования, — это способ изъятия финансовых средств из оборота компаний, из развития бизнеса, полагает вице-президент «Ростелекома» по ИБ.

Он также поднял вопрос о том, от утечки каких данных может наступить максимальный ущерб для субъекта. У государства, например, колоссальный объём самых разных персданных, и потенциально могут быть утечки. Будет ли государство компенсировать ущерб, если утечка произойдет по его вине? Замруководителя Роскомнадзора на это заметил, что по итогам 2023 года только 2 или 3 случая из 170 пришлись на государственные системы, в основном компрометируются данные из компаний коммерческого сектора. Милош Вагнер добавил, что речь в законопроекте всё-таки идёт о страховании риска компрометации данных, а ущерб, в том числе, моральный, доказывается затем в частном порядке через суд.

Директор департамента страхового рынка ЦБ Илья Смирнов заявил, что потребовать застраховать можно только ответственность, имущество — сильно сложнее. И при обсуждении страхования ответственности за утечку персданных необходимо учитывать следующее: сложно установить, что к ущербу привела конкретная утечка из конкретной компании.

Предположим, что была утечка у компании А, а потом по тому же человеку — у компании Б. Как доказать, что потери были у компании Б, и человек пострадал из-за этого? — привел пример Илья Смирнов.

Важно также определить, кто будет контролировать наличие страховки — ФОИВы, Роскомнадзор, МВД, Минцифры, и насколько регулярным будет такой контроль, добавил он. И что будет, если у компании не окажется страховки: «Отсутствие страховки у «Ростелекома» будет означать, что он тоже не может функционировать на рынке»?

А гендиректор Национальной страховой информационной системы (НСИС) Николай Галушин полагает, что должна быть прямая связь между утечкой персданных и ущербом. Страхование может работать, только если физлицу нанесен ущерб. При этом о любом человеке в интернете есть вся информация, но наличие данных и ущерб от этого — разные вещи.

Законопроекты об оборотных штрафах и уголовной ответственности за утечки данных приняты в I чтении

Госдума 23 января 2024 года приняла в первом чтении законопроекты об административной и уголовной ответственности за утечки персональных данных. Об этом сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Как отметил председатель Госдумы Вячеслав Володин, граждане обращаются с просьбой решить эту проблему.

Проводил опрос на эту тему в своем Telegram-канале — абсолютное большинство высказалось за необходимость усиления наказания за утечку персональных данных, — сказал, комментируя проект закона Володин.

Указанные законопроекты – самые обсуждаемые и самые ожидаемые за последние годы, причем и обществом, и отраслью, отметил Антон Немкин.

Актуальность их особенно очевидна на фоне катастрофы, которая происходит в части утечек персональных данных: только по официальным данным Роскомнадзора суммарно с 2022 по 2023 год зафиксировано более 300 утечек, в сеть утек почти миллиард строчек с данными россиян. Поэтому, у меня нет никаких сомнений, что наши законопроекты будут приняты очень оперативно, в эту сессию точно. И вот, первый шаг уже сделан - Госдума на пленарном заседании приняла в первом чтении оба законопроекта об административной и уголовной ответственности за утечки персональных данных, - сказал он.

Так, в законопроекте, который предлагает дополнить новыми частями ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных), стоит обратить внимание на то, что ужесточение наказания коснется не только самого факта утечки, но и ряда обязанностей операторов. Например, если невовремя уведомить или вообще не уведомить Роскомнадзор о намерении осуществлять обработку персональных данных, штраф для граждан может составить от 5 тыс. до 10 тыс. руб., для должностных лиц — от 30 тыс. до 50 тыс. руб., а для юрлиц — от 100 тыс. до 300 тыс. руб.

Отсутствие уведомления об инциденте с персональными данными или его несвоевременная отправка в Роскомнадзор (на это даются сутки) также повлечет для граждан штраф от 50 тыс. до 100 тыс. руб., для должностных лиц — от 400 тыс. до 800 тыс. руб., а для юрлиц — от 1 млн до 3 млн руб.

Также поправки к КоАП устанавливают штрафы до 15 млн рублей за утечку персональных данных. При этом предлагается вариативность размеров штрафа в зависимости от объема утечки – чем больше данных утекло, тем значительнее будет штраф. Наибольший размер штрафа предусмотрен для тех, кто допустил нарушение, и оно привело к неправомерной передаче информации, включающей персональные данные более ста тысяч субъектов персональных данных.

Однако самое серьезное наказание, конечно, касается тех, кто уже был оштрафован за действие или бездействие, повлекшее утечку данных, и при этом совершил это снова. Им грозит оборотный штраф, который может достигать 500 млн рублей, - добавил Немкин.

Вторым законопроектом Уголовный кодекс РФ предлагается дополнить статьей 272.1 (незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения). Соответственно, уголовная ответственность будет предусмотрена для тех, кто незаконно собирает, хранит, использует и передает незаконно полученную компьютерную информацию, содержащую персональные данные. Также она грозит тем, кто незаконно передает базы данных с персональной информацией за рубеж или создает и администрирует сайты, которые позволяют незаконно хранить и предоставлять доступ к персональным данным.

По словам Немкина, законопроекты тщательно готовились с 2022 года.

Встречи с представителями отрасли проводились неоднократно, шли жаркие споры, проекты законов несколько раз дорабатывались, трансформировались. В той версии, в которой они были внесены в Госдуму, законопроекты, на мой взгляд, учитывают как минимум 80% всех имевшихся замечаний. Не исключено, что ко второму чтению они также могут быть доработаны, если отрасль или бизнес выступят с конструктивными предложениями. В частности, обсуждению еще подлежит механизм смягчения ответственности для операторов, пока к единому мнению прийти не удалось, - заключил парламентарий.

ИКТ-компании и банки просят доработать законопроект об уголовной ответственности за утечки данных

Ассоциация больших данных (АБД; в нее входят крупные российские ИКТ-компании и банки) в комитет Госдумы по госстроительству и законодательства письмо, в котором попросила депутатов уточнить формулировки законопроекта об уголовной ответственности за работу с персональными данными. Об этом обращении стало известно 16 января 2024 года.

Как пишет Forbes со ссылкой письмо АБД, ассоциация поддерживает уголовную ответственность за утечки данных, однако считает, что вводимый в УК состав должен быть однозначным, а ответственность должны нести взломщики и те, кто продает базы данных. В редакции законопроекта, внесенной в Госдуму в начале декабря 2023 года, состав «формален», отмечается в письме, а наказание предусмотрено за сбор и хранение данных вне зависимости от наличия умысла.

Бизнес попросил доработать инициативу об уголовной ответственности за утечки

Члены АБД предложили добавить формулировку: наказание «за заведомо незаконные сбор, хранение и использование персональных данных». Тем самым, как считают в ассоциации, можно будет избежать наказания тех, кто случайно получил доступ к персональным данным. Также бизнес предложил не привлекать к ответственности сотрудников подразделений информационной безопасности или экспертных учреждений, которые изучают утечки «в целях мониторинга защищенности и предотвращения атак на собственные информационные ресурсы».

Внесенный в Госдуму законопроект предполагает, что за использование, передачу, сбор или хранение незаконно полученных персональных данных положен штраф от 300 до 700 тыс. рублей. Также нарушителей могут лишить свободы на срок от четырех до пяти лет. Если подобные действия будут совершены группой лиц с причинением крупного ущерба, то размер штрафа вырастет до 1 млн рублей, а максимальный срок — до шести лет.^[2]

2023

Назначены наказания за громкие утечки данных из Минпросвещения, ЭКСМО и «Роза Хутор»

Суды выписали административные штрафы Минпросвещения РФ, Издательству «ЭКСМО», курорту «Роза Хутор», за утечки персональных данных, которые были опубликованы в начале июня 2023 года. Кроме того, было вынесено решение по утечке персональных данных пользователей сайта «МТВ.РУ», которая была зафиксирована 21 августа. В результате, все перечисленные компании получили административные штрафы в размере 60 тыс. рублей. Аналогичный процесс идет и против «Издательства АСТ», которое обжаловало решение суда.

В частности, суд установил, что 2 июня в открытом доступе оказалась база данных пользователей сайта «Российская электронная школа», содержащая 2,019 млн записей, которые включают в себя ФИО, номер телефона, адрес электронной почты, дата рождения, город, должность, место работы, место обучения, сведения о наличии детей. Утечка была результатом хакерской атаки на компоненты, обновления которых не было у оператора ПДн, однако суд не признал это смягчающим обстоятельством.

Изюминкой процесса является то, что обрабатывало данные не само Минпросвещения, но подведомственный институт – ФГАУ ГНИИ ИТТ «Информатика», против которого дела заведено не было. Причина в том, что согласия на обработку персональных данных, опубликованные на сайте «РЭШ», были оформлены от имени Министерства просвещения РФ.

Издательство «ЭКСМО» и курорт «Роза Хутор» также признаны виновными в нарушении закона №152-ФЗ «О персональных данных» и опубликовании 452 тыс. строк и 522 тыс. строк соответственно. В обоих случаях указывается, что в утечку вошли такие данные как фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты. Для сайта eksmo.ru дополнительными полями были пол, сведения о писательской деятельности и адрес доставки. В обоих случаях причиной инцидента названа атака на CMS «1С-Битрикс», в которой была проэксплуатирована уязвимость.

Панорама на сайте курорта «Роза Хутор», который стал причиной утечки персональных данных посетителей

В постановлении по делу издательства «ЭКСМО» было отмечено следующее:

При этом обществом с ограниченной ответственностью ООО «Издательство «ЭКСМО» не представлено доказательств отсутствия реальной возможности исполнения требований действующего законодательства, а также принятия юридическим лицом всех зависящих от него мер по исполнению указанных требований.

Вот тут-то и должны были бы вступить в силу те самые требования по безопасности ФСТЭК и подключения к ГосСОПКА. Если бы у издательства «ЭКСМО» была бы проведена аккредитация на соответствие требований ФСТЭК или хотя бы договор на взаимодействие с ГосСОПКА, то, возможно, и результат судебного разбирательства был бы другим. А, вероятно, и самого разбирательства не было бы, поскольку и ФСТЭК, и НКЦКИ рассылали предупреждения об обнаружении критических уязвимостей в CMS «1С-Битрикс», то есть ИТ-службы предприятий могли просто установить соответствующие обновления.

Причем если признавать свою вину, то судебный процесс будет проходить быстрее и с меньшим количеством подробностей – суду не нужно будет подробно формулировать обвинительную часть постановления. Именно так и случилось по делу «МТВ.РУ». Штраф при этом оказался таким же – 60 тыс. рублей, но опубликованных данных о самой утечке меньше.

Это важно потому, что в начале декабря в Госдуму внесен законопроект, который должен ужесточить административное наказание за не соблюдение требований законодательства в области персональных данных. После принятия этого законопроекта юридические лица не отделаются штрафом в 60 тыс. рублей - максимальная сумма штрафа может быть увеличена до 15 млн рублей, а за повторное нарушение вообще предусмотрен оборотный штраф до 3% от годовой выручки компании.

Объем штрафов за утечки данных в России вырос в 23 раза с 2021 года

За неполный 2023 год — с начала января по начало декабря — сумма штрафов за утечки персональных данных, которую постановили взыскать российские суды, превысила 4,6 млн рублей, что вдвое больше, чем годом ранее, и в 23 раза превосходит объем 2021 года. Такие данные в декабре 2023 года обнародовали в Роскомнадзоре.

Как пишут «Ведомости» со ссылкой на представителя Роскомнадзора, с начала января по начало декабря 2023 года суды рассмотрели 87 составленных ведомством протоколов по факту утечек персональных данных против 66 дел за весь 2022 год. В 2021-м Роскомнадзор составил только четыре протокола по таким нарушениям, а сумма штрафов по ним составила около 200 000 рублей.

Сумма штрафов за утечки персональных данных, которую постановили взыскать российские суды, превысила 4,6 млн рублей

Рост суммы штрафов связан с повышенным вниманием к проблеме утечек, а также с тем, что в последние годы увеличилось число утечек и случаев незаконной продажи персональных данных, считает руководитель направления «Разрешение IT & IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.

По подсчетам опрошенных «Ведомостями» экспертов, с 1 января по начало декабря 2023 года в России было зафиксировано свыше 200 утечек персональных данных.

Их объем пока нельзя оценить точно, но, вероятнее всего, он составит не менее 300 млн строк уникальных клиентских данных, – подчеркнули собеседники издания (статья вышла 11 декабря 2023 года), отметив, что за весь 2021-й утечек было на уровне 260, но преступники получили лишь около 110 млн строк с клиентскими данными.

По словам экспертов, информационные системы в РФ оказались недостаточно защищены от взломов. В преступный бизнес было вовлечено огромное количество идеологически замотивированных людей, соответственно, вырос перечень потенциальных целей для взломов, добавили собеседники.^[3]

Депутаты серьезно ужесточают наказания за утечки персональных данных

Группа депутатов в начале декабря внесла на рассмотрение Госдумы пакет законопроектов, которые ужесточают ответственность за утечку персональных данных. Причем наказываются как организации, которые не защитили персональные данные (для них наказание определяет законопроект №502104-8^[4], который вносит поправки в КоАП), так и хакеры, которые получили несанкционированный доступ к базам персональных данных и занимались их распространением (законопроект №502113-8^[5], который меняет УК РФ).

Поправки в КоАП в основном направлены на изменение уже существующей статьи 13.11^[6], которая определяет административное наказание для физических, должностных и юридических лиц за нарушение требований закона №152-ФЗ `О безопасности персональных данных`. Причем под должностными лицами понимаются чиновники, которые организуют защиту данных в государственных и муниципальных органах власти. Предлагаемые поправки увеличивают штрафы за невыполнение требований по защите ИСПДн от 2 до 6 раз.

Законопроект на сайте Госдумы

Кроме того вносится еще семь новых нарушений, которые подпадают под действие этой статьи: отсутствие уведомлений Роскомнадзора (до 300 тыс. руб.), нерасследование инцидентов с ИСПДн (до 3 млн руб.), преступная халатность (признаки уголовного деяния – до 5 млн руб.), средний размер утечки (до 10 млн руб.) и крупный (до 15 млн руб.), повторное нарушение (до 3% годовой выручки для юрлиц и до 4 млн для должностных лиц), утечка специальных ПДн (вне зависимости от объема – до 15 млн руб.) и ее повторение (до 3% годовой выручки юрлиц или 5 млн для должностных). Вступление в действие закона предусмотрено в течении месяца со дня его опубликования.

Изменение в Уголовный кодекс добавляет новую статью – 272.1, которая карает за «использование и(или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».

Законопроект на сайте Госдумы

Ранее хакеров, которые воровали персональные данные, судили по статье 272^[7] УК РФ `Неправомерный доступ к компьютерной информации`, теперь же будет отдельная статья, которая карает не только за доступ, но и за передачу, сбор, хранение и даже за создание сайтов с украденными персональными данными. В результате, даже анализ опубликованных утечек или сопоставление их со старыми может оказаться вне закона.

Наказание в этой статье предусмотрено в размере штрафа до 300 тыс. руб. или до 4 лет ограничения свободы для обычных ПДн, и до 700 тыс. руб. или до 5 лет – для специальных категорий данных. Отягчающими обстоятельствами служат корыстная заинтересованность, крупный ущерб, объединение в группу и служебное положение. В этом случае наказание увеличивается до 1 млн руб. или до 6 лет. В пояснении указано, что тяжкими последствиями является приостановка или нарушение деятельности оператора персональных данных, то есть имеется в виду ситуация, когда воровство данных прикрывается DDoS-атакой.

Отдельное наказание предусмотрено за трансграничную передачу персональных данных, правда в пояснении расшифровывается, что под этим подразумевается физический перенос данных через границу на каком-либо носителе. Наказание за это предусмотрено до 10 лет ограничения свободы или штраф до 3 млн руб.

Новая статья также определяет наказание за создание сайта или страницы в интернете специально предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные. За это полагается штраф до 700 тыс. руб., либо наказание до 5 лет.

Самые значительные меры уголовной ответственности будут применяться к организованным группировкам, которые совершали незаконные действия с базами данных, содержащими персданные, полученные незаконным путем, что повлекло тяжкие последствия, – пояснил поправки Александр Хинштейн, председатель комитета Госдумы по информационной политике, в своем телеграмм-канале. – Предусмотрены крупные штрафы (до 3 млн рублей в случае тяжких последствий, либо действий орггруппы), запрет на занятие определенных должностей, принудительные работы и лишение свободы. Последняя санкция может достигать пяти лет, для создателей ресурсов, распространяющих краденые персданные.

«Яндекс.Еда» выплатит пользователям компенсации за утечку их данных

В конце ноября 2023 года Санкт-Петербургский городской суд поставил точку в разбирательстве между пользователями «Яндекс.Еды» и сервисом: те требовали от компании компенсацию за утечку данных. Подробнее здесь.

Спикер Госдумы Володин узнал о желании россиян увеличить штрафы за утечки персональных данных

Председатель Государственной Думы Вячеслав Володин 3 октября 2023 года запустил у себя в Телеграмм-канале голосование об ужесточении ответственности компаний за утечку персональных данных граждан. Этот вопрос, по словам Володина, обсуждается в Госдуме.

Вопрос звучит так: `Считаете ли вы правильным увеличить штрафы для бизнеса в случае повторных фактов подобных нарушений?`. Было предложено три варианта ответов: `Да`, `Нет`, `Всё равно`.

На опрос, по состоянию на 4 октября, ответили 175 тыс. человек, из которых 93% требуют ужесточения штрафов за повторные утечки. В комментариях даже предлагают ввести уголовную ответственность с конфискацией имущества.

Читатели телеграм-канала Вячеслава Володина в подавляющем большинстве поддержали ужесточение штрафов за повторные утечки данных

Судя по всему, своим опросом Вячеслав Володин отреагировал на открытое письмо бизнес-сообщества, которое днем ранее ему направили представители «Опоры России», «Деловой России», Российского союза промышленников и предпринимателей, Торгово-промышленной палаты. Они-то и высказали предложение рассчитывать оборотный штраф за повторную утечку иначе: умножать размер предыдущего штрафа на порядковый номер правонарушения.

То есть если текущий законопроект предусматривает штраф в размере от 15 млн руб., то за третью утечку из того же оператора уже придется заплатить от 45 млн руб. В их предложении также есть требование, что с определенного количества повторных нарушений все-таки наступает уголовная ответственность.

Судя по голосованию в Телеграмм-канале, именно такая концепция ужесточения наказания для нарушителей закона №152-ФЗ `О защите персональных данных` и является наиболее популярной.

Собственно, процесс разработки законопроекта о введении оборотных штрафов был инициирован в январе 2023 года поручением Президента РФ – отчет о проделанной работе назначен был на июль. В середине лета было разработано предложение, которое председатель правительства Михаил Мишустин согласовал с Президентом. По данным РБК, в том законопроекте предлагалось ввести следующие штрафы: если утечка содержит от 1 тыс. до 10 тыс. записей ПДн, то, штраф для юрлиц составит от 3 млн до 5 млн руб.; от 10 тыс. до 100 тыс. — от 5 млн до 10 млн руб.; и более 100 тыс. — от 10 млн до 15 млн руб. При этом за повторное нарушение при любом объеме утёкшей информации, но от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки проштрафившейся компании за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. За утечки биометрических персональных данных предлагалось штрафовать юрлица на сумму от 15 млн до 20 млн руб.

Однако на момент обсуждения Государственная Дума была на каникулах, поэтому немедленно после согласования законопроект невозможно было вынести на рассмотрение. Сейчас же, когда осенняя сессия уже началась, идет процесс доработки законопроекта, поскольку после публикации РБК к нему было много претензий со стороны операторов персональных данных и бизнес-сообщества.

Собственно текущее голосование как раз и является еще одной попыткой показать, что у народа есть четкое желание покарать те компании, которые допускают утечки, хотя далеко не все, голосующие за ужесточение наказания, понимают, что сейчас операторами персональных данных стали фактически все компании России, и для них подобные штрафы могут быть смертельны.

Жертвы утечек данных смогут получить компенсацию через Госуслуги

Правительство РФ поддержало инициативу Минцифры о компенсации пострадавшим от утечек персональных данных в рамках закона об оборотных штрафах. Об этом говорится в сообщении от 26 сентября 2023 года, опубликованном на официальном сайте министерства.

Freepik

Финансовое возмещение нанесённого пользователю вреда компанией, которая допустила утечку, будет признаваться смягчающим обстоятельством. В этом случае к компании будут применяться пониженные оборотные штрафы.

Как это будет работать:

Компания должна сообщить пользователю об утечке, прислать ему SMS/e-mail на номер/адрес, которые были указаны при регистрации. Если компания готова выплачивать компенсацию — это будет напрямую указано в тексте сообщения. Минцифры также разместит эту информацию на Госуслугах.

После этого у пользователя будет 15 рабочих дней, чтобы подать заявку на Госуслугах на возмещение причинённого ущерба. Компания в течение 20 рабочих дней после получения заявок рассчитает объём денежной выплаты и направит через Госуслуги своё предложение всем обратившимся.

Пользователь сможет принять предложение или отказаться от него в течение 20 рабочих дней.

Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить её в течение 5 рабочих дней.

Роскомнадзор возьмет на себя сертификацию операторов персональных данных

19 июля 2023 года стало известно о планах Роскомнадзора взять на себя сертификацию операторов персональных данных. Как пишет «Коммерсантъ», ведомство предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Лицензированием должен заняться удостоверяющий центр регулятора.

Предполагается, что для этого Роскомнадзор будет проводить аудит ИТ-инфраструктуры компании на соответствие определенным критериям, пояснил изданию один из собеседников. Источник газеты, близкий к Минцифры, говорит, что инициативу могут распространить только на компании, обрабатывающие большой объем данных.

Роскомнадзор хочет взять на себя сертификацию операторов персональных данных

По мнению главного юрисконсульта практики интеллектуальной собственности юридической компании ЭБР Кирилла Ляхманова, если предлагаемую Роскомнадзором норму о лицензировании деятельности примут, то она, скорее всего, будет касаться всех обработчиков персональных данных, в противном случае «ее политический эффект будет стремиться к нулю». В самом Роскомнадзоре заявили, что ведомство не предлагает ввести лицензии на обработку персональных данных.

Это не так. Предложения в законопроект не предусматривают необходимость лицензирования или введения дополнительных разрешительных процедур. Речь идёт о повышении уровня защиты данных граждан для операторов, обрабатывающих значительные объёмы таких данных, - отметили в ведомстве.

В Роскомнадзоре сообщили, что для таких «больших» операторов, которые обрабатывают свыше 1 млн записей, считают необходимым установить следующие обязанности: оператор должен быть российским юридическим лицом; иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора; иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей.^[8]

Минцифры РФ введет внеплановые проверки допустивших утечки данных ИТ-компаний

9 июня 2023 года стало известно о том, что Минцифры РФ и Федеральная антимонопольная служба (ФАС) собираются снять мораторий на внеплановые проверки для ИТ-компаний, которые допустили утечку персональных данных или нарушили антимонопольное законодательство.

Как сообщает газета «Коммерсантъ», инспекции предлагается проводить в том случае, если «в Сети появится база данных, прямо или косвенно принадлежащая организации». Дело в том, что ситуация с утечками конфиденциальной информации в России ухудшается. По оценкам сервиса мониторинга даркнета DLBI, только в течение первого квартала 2023-го объём персональных данных граждан, незаконно попавших в интернет, превысил 118 млн уникальных записей. Это в 2,3 раза больше по сравнению с аналогичным периодом 2022 года. Предполагается, что риск попасть под внеплановую проверку со стороны регуляторов будет стимулировать российские компании к внедрению дополнительных средств обеспечения безопасности. Однако некоторые эксперты считают, что подобные меры не всегда будут действенными.

Минцифры и ФАС собираются снять мораторий на внеплановые проверки для ИТ-компаний, которые допустили утечку персональных данных или нарушили антимонопольное законодательство

Стремление государства регулировать цифровую среду в текущих условиях понятно. Но не всегда в утечке данных можно напрямую обвинить даже ИТ-компанию, тем более что чаще в подобных инцидентах фигурируют как раз другие отрасли, — отмечает замгендиректора Zecurion Александр Ковалев.

Внеплановые проверки в области нарушения антимонопольного законодательства будут проводиться при «завышении цен на продукцию в условиях отсутствия альтернативы». В сложившейся геополитической обстановке наблюдается резкий рост спроса на российское программное обеспечение и оборудование. Это спровоцировало стремительное увеличение цен на ИТ-продукты: например, стоимость некоторого отечественного софта за год поднялась на 30–50%.^[9]

VK оштрафована за утечку данных пользователей почтового сервиса Mail.ru

11 мая 2023 года VK была оштрафована за утечку данных пользователей почтового сервиса Mail.ru. Соответствующее постановление вынес Мировой суд Савеловского района Москвы. Подробнее здесь.

НИУ ВШЭ оштрафовали на 60 тыс. рублей за утечку персональных данных

Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) оштрафована на 60 тыс. рублей за утечку персональных данных. Соответствующее постановление 10 мая 2023 года мировой судья судебного участка №387 Центрального района города Москвы. Вуз был признан виновным в совершении административного правонарушения по части 1 статьи 13.11 КоАП РФ (Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяниях). Максимальный штраф по этой статье составляет 100 тыс. рублей. Подробнее здесь.

«Уралхим» оштрафован за утечку базы данных сотрудников

Мировой суд Пресненского района Москвы оштрафовал «Уралхим» на 60 тыс. рублей за утечку базы сотрудников. Один из крупнейших производителей минеральных удобрений признан виновным в нарушении закона о персональных данных. Подробнее здесь.

Суд в Москве оштрафовал Skyeng за утечку данных пользователей

1 марта 2023 года судебный участок Таганского района Москвы оштрафовал Skyeng на 60 000 рублей из-за утечки персональных данных пользователей онлайн-школы английского языка. Компания была признана виновной по ч. 1 ст. 13.11 КоАП (обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации). Максимальное наказание по статье - штраф в размере 100 000 рублей. Подробнее здесь.

Сервис «ТуТу» оштрафован за утечку данных пользователей

В начале марта 2023 года Таганского района Москвы оштрафовал сервис «Туту.ру» на 60 тыс. рублей за утечку пользовательских данных. Компания была признана виновной в совершении административного правонарушения, которое предусмотрено ч.1 ст.13.11 КоАП (нарушение законодательства Российской Федерации в области персональных данных). Подробнее здесь.

2022

Правительство РФ поддержало введение уголовной ответственности за незаконный сбор персональных данных

Правительство РФ поддержало введение уголовной ответственности за незаконный сбор персональных данных. Об этом 2 февраля 2023 года сообщила первый зампред комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова, которая является одним из авторов проекта.

Концепция законопроекта о внесении изменений в Уголовный кодекс РФ, в соответствии с которым предлагается установить уголовную ответственность за незаконный сбор, хранение, использование и передачу баз данных, поддержана правительством РФ. Сейчас в Совете Федерации идет работа над окончательным текстом проекта федерального закона, - сказала она в разговоре с ТАСС (статья вышла 2 февраля 2023 года).

Кабмин поддержал концепцию проекта об уголовном наказании за утечку персональных данных

Рукавишникова не уточнила меры наказания, которые планируется ввести за утечки персональных данных. Замглавы комитета Госдумы по информполитике Антон Горелкин в своем Telegram-канале заявил, что рассчитывает на «суровое наказание», предусмотренные авторами документа. В ином случае он заявил, что будет настаивать на ужесточении ответственности.

Горелкин отметил, что к началу февраля 2023 года также обсуждается введение оборотных штрафов для компаний, допустивших утечку персональных данных клиентов. Указанный законопроект обсуждают с весны 2022-го, а в конце 2022 года Минцифры заявляло, что документ готов. Однако текст до сих пор не опубликовали.

Как я понимаю, этот вопрос проходит через кабинет министров сложнее — но уже близок к финальной стадии, — уточнил Горелкин.

Ирина Рукавишникова подчеркнула, что утечка персональных данных представляет серьезную угрозу для России. По ее словам, поставленная президентом РФ Владимиром Путиным задача по защите персональных данных своевременна, поскольку участились случаи продажи персональных данных жителей страны, «причем делается это без стеснения, крупным оптом».^[10]

Минцифры решило ввести оборотные штрафы за утечки данных в 500 млн рублей

26 декабря 2022 года стало известно о решении Минцифры РФ установить для компаний штрафы за утечки персональных данных в диапазоне от 5 млн до 500 млн рублей.

Минцифры введет для компаний штрафы за утечки данных в размере до 500 млн рублей

Как пишет «Коммерсантъ» со ссылкой на источник, знакомый с заключительной версией законопроекта, «верхний потолок» предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например попыталась скрыть инцидент.

Источники издания отметили, что сумма штрафа будет рассчитываться от объема выручки компании за календарный год, предшествовавший году, в котором произошла утечка данных. В министерстве рассчитывают, что положения закона вступят в силу в сентября 2023 года.

Понятие повторности нарушения вызвало вопросы у собеседника газеты в ИТ-отрасли, указавшего, что преступники компилируют базы, публикуемые в интернете, и «далеко не всегда их публикация означает нарушение правил хранения данных». Другой источник издания в одной из ИТ-компаний предполагает, что введение оборотных штрафов может привести к «дроблению компаний» с целью сократить базу в случае возможных утечек.

Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже, — сказал он.

23 декабря 2023 года глава комитета Совета Федерации по конституционному законодательству и госстроительству Андрей Клишас заявил, что парламентарии намерены в ближайшее время проработать вопрос об ужесточении наказания за нарушения законодательства в области персональных данных. Ранее в пресс-службе Роскомнадзора сообщили ТАСС, что законодательные изменения об ужесточении наказания за утечки данных уже подготовлены.^[11]

Минцифры поддержало введение тюремных сроков за кражу и продажу персональных данных

Минцифры поддержало введение тюремных сроков за кражу и продажу персональных данных. Об этом стало известно в середине декабря 2022 года. Подробнее здесь.

ИТ-компаниям в России грозят проверки в случае утечки персональных данных

В декабре 2022 года Минцифры РФ опубликовало проект постановление правительства о проведении Роскомнадзором внеплановых проверок аккредитованных ИТ-компаний в случае утечки у них данных сотрудников и клиентов. Согласно пояснительной записке, инициатива направлена на предотвращения проблем, связанных с массовыми утечками персональных данных.

Согласно документу, на который ссылается «Интерфакс», Роскомнадзору по согласованию с прокуратурой сможет проводить внеплановые мероприятия по контролю за обработкой персональных данных в отношении операторов, являющихся в том числе аккредитованными организациями, которые осуществляют деятельность в области информационных технологий. Условием для начала внеплановой проверки будет установление факта распространения в интернете баз персональных данных (или их части), в том числе имеющих признаки принадлежности аккредитованной организации, сказано в записке.

ИТ-компаниям в России грозят проверки в случае утечки персональных данных

К середине декабря 2022 года в России действует мораторий на плановые и внеплановые проверки всех российских компаний (за исключением отдельных видов проверок социально значимых объектов по вопросам соблюдения санитарных и пожарных требований, а также опасных производственных объектов). На едином портале госуслуг (ЕПГУ) работает сервис подачи жалобы по поводу нарушения моратория на проверки. Как сообщало правительство, в результате совершенствования контрольно-надзорной деятельности ежегодная экономия бизнеса составила около 200 млрд рублей.

16 декабря 2022 года в Роскомнадзоре сообщили, что с начала специальной военной операции РФ на Украине было было зарегистрировано более 140 утечек персональных данных россиян, в сеть попали более 600 млн записей.

Нарушена конфиденциальность медицинских персональных данных, подлежащих особой защите. Основной источник сливов - иностранные ресурсы, - говорится в сообщении ведомства.[12]

Минцифры решило штрафовать за утечки данных на 3% годового оборота

Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило законопроект об увеличении штрафов за утечку пользовательских данных. Как сообщил в середине декабря 2022 года глава ведомства Максут Шадаев, компании предлагается штрафовать на сумму до 3% годового оборота. К 14 декабря 2022-го максимальный штраф за это нарушение составляет 500 тыс. рублей.

До 3% оборотные штрафы заставят компании инвестировать больше средств в безопасность. Нам кажется, что здесь - это главная мотивация. Не больше штрафов собрать, а именно чтобы коллеги инвестировали в инфраструктуру, - сказал Шадаев на заседании президиума фракции КПРФ в Госдуме 14 декабря 2022 года.

Минцифры решило штрафовать за утечки данных на 3% годового оборота

По его словам, смягчающими обстоятельствами при назначении штрафа будут считаться: инвестиции в средства защиты данных, сертифицирование инфраструктуры, а также компенсация ущерба пользователям, данные которых попали в сеть. Если компания в досудебном порядке компенсирует ущерб двум третям клиентов, это будет считаться смягчающим обстоятельством.

В начале декабря 2022 года президент РФ Владимир Путин допустил, что наказание за утечку данных могут ужесточить. Он не исключил, что речь может идти не только об оборотных штрафах, но и об уголовной ответственности — только если «люди понимают, что используют украденные данные». При этом, по словам главы государства, такие решения должны быть взвешенными и не препятствовать развитию нужных для государства информационных технологий.

Согласно изменениям в законе «О персональных данных», вступившим в силу 1 сентября 2022 года, в случае утечки данных оператор обязан в течение 24 часов уведомить об этом Роскомнадзор, а в течение 72 часов — предоставить ведомству результаты внутреннего расследования с указанием причины и виновных лиц.^[13]

«Яндекс» оштрафован за утечку данных пользователей образовательного сервиса

12 декабря 2022 года Мировой суд Хамовнического района Москвы оштрафовал «Яндекс» после утечки данных пользователей образовательного сервиса «Яндекс.Практикум». Подробнее здесь.

В России собираются ввести уголовную ответственность за утечку персональных данных

8 декабря 2022 года стало известно о том, что Президент России Владимир Путин одобрил введение уголовной ответственности за незаконный оборот персональных данных, в том числе и за использование утекших баз данных, в ходе встречи с членами Совета по развитию гражданского общества и правам человека (СПЧ).

Президент пообещал дать соответствующие рекомендации и поручения Минцифры, МВД и Центральному банку.

Инициативу предложил член СПЧ, глава Национального антикоррупционного комитета Кирилл Кабанов. Он призвал ввести в законодательство понятие «незаконный оборот персональных данных» по аналогии с понятием о незаконном обороте наркотиков. И предложил прописать оборотные штрафы и уголовное наказание для компаний, которые допустили утечки и пользовались базами.

Наверное, есть необходимость и ужесточения ответственности за правонарушения в этой сфере, — ответил Владимир Путин на предложение. — Что касается оборотных штрафов и уголовной ответственности, я так понимаю, что вы говорите об уголовной ответственности за незаконный оборот, ведь те, кто использует эти данные, они должны знать и понимать, что они используют украденные данные. Конечно это нужно поработать и принять взвешенные решения, которые и интересы граждан защитят и не будут являться препятствием для развития соответствующих и очень нужных для государства информационных технологий[14].

Минцифры подготовило новые условия для оборотных штрафов за утечки данных

В начале октября 2022 года стал известно о новой версии законопроекта об оборотных штрафах за утечки персональных данных (ПД). В доработанном документе Минцифры предлагает штрафы не только для компаний, но и для их должностных лиц.

Как пишут «Ведомости» со ссылкой на повестку к совещанию по вопросам регулирования законодательства в области персональных данных, которое пройдет в Минцифры 6 октября 2022 года, для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит 200 000–400 000 рублей, для индивидуальных предпринимателей и юрлиц - 0,02% от оборота, но не менее 1 млн рублей.

Минцифры выдвинуло условия для штрафов за утечки данных

В начальной редакции законопроекта предлагалось штрафовать компанию в размере 1% от годовой выручки и в размере до 3%, если она не сообщила вовремя об утечке. В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей, рассказал источник, знакомый с обсуждением проекта.

Опрошенные изданием эксперты считают, что введение персональных штрафов за утечки данных, с одной стороны, может привести к тому, что ответственные должностные лица будут принимать соответствующие меры для обеспечения надежной защиты ПД пользователей, но с другой стороны, это не закроет проблемы с защитой ПД в компаниях, где есть определённые выстроенные бизнес-процессы, которые даже высшие должностные лица не могут поменять или скорректировать в течение короткого промежутка времени.

5 октября 2022 года замглавы Минцифры Александр Шойтов заявил, что утечки персональных данных, к которым приводят усиливающиеся хакерские атаки, дестабилизируют обстановку в России. По его мнению, исправить ситуацию поможет принятие закона об оборотных штрафах для компаний за утечку. ^[15]

Компании получат оборотные штрафы, только если утечка затрагивает данные от 10 тыс. россиян

В конце августа 2022 года стало известно о том, что компании в России будут получать оборотные штрафы, только если утечка затрагивает данные от 10 тыс. пользователей. В остальных случаях штраф будет фиксированный.

О введении такой схемы наказания бизнеса за утечки данных узнал РБК. По словам источника издания, . среди смягчающих обстоятельств, которые «позволят снизить штраф вплоть до фиксированного значения в несколько миллионов», он перечислил такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности.

Компании получат оборотные штрафы, если допустят утечку информации более чем 10 тыс. субъектов персональных данных

Минцифры выступает за ужесточение и усиление ответственности за утечки персональных данных, но задача — не в самих штрафах, дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей, — подчеркнули в министерстве 29 августа 2022 года.

Ужесточить ответственность за утечки персональных данных ранее предлагал глава Минцифры Максут Шадаев. К концу августа 2022 года максимальный штраф за утечку персональных данных для бизнеса составляет 500 тысяч рублей.

Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке. В начале августа 2022 года Роскомнадзор заявил, что в России с начала 2022-го произошло более 40 крупных утечек баз персональных данных, скомпрометировано 300 млн записей.^[16]

Delivery Club оштрафован за утечку данных пользователей

18 августа 2022 года судебный участок района Аэропорт оштрафовал Delivery Club на 80 тыс. рублей за утечку персональных данных клиентов и курьеров сервиса. Об этом сообщает «РИА Новости» со ссылкой на пресс-службу Савеловского суда Москвы. Подробнее здесь.

Минцифры решило сделать штрафы за утечку данных соразмерными объемам информации

12 июля 2022 года стало известно о решении Министерства цифрового развития, связи и массовых коммуникаций РФ сделать штрафы за утечку данных соразмерными объемам информации. Соответствующее предложение вошло в новую версию законопроекта.

Как сообщает пресс-служба ведомства, штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф.

Штрафы за утечку данных будут соразмерными объемам информации

Для оборотных штрафов будут установлены границы («от» и «до» какого процента от выручки можно будет взыскать). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным.

Будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.

Законопроект также определит, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные. ^[17]

Минцифры согласилось не вводить штрафы для компаний за первый факт утечки данных пользователей

Как стало известно 11 июля 2022 года, Минцифры согласилось не вводить штрафы для компаний за первый факт утечки данных пользователей. О решении по смягчению наказаний за утечки персональных данных ведомство объявило на совещании о поправках в КоАП, на котором также присутствовали представители «Ростелекома», МТС, «Авито», «Яндекса», Ozon, «Вымпелкома», VK и др.

По данным «Коммерсанта», Минцифры также согласилось снизить размер штрафа за утечку ниже 1% от оборота, однако этот вопрос к 11 июля 2022 года еще обсуждается.

Компании не будут выплачивать штраф за первый факт утечки данных пользователей

Также на совещании обсуждали снижение штрафа за утаивание утечки от Роскомнадзора. Министерство поручило компаниям за две недели разработать предложения по поправкам к законопроекту.

По словам источника издания, представители бизнеса на совещании предложили трехступенчатую систему наказания за утечки. Если персональные данные клиентов или сотрудников были скомпрометированы впервые, то компании предложили выносить только предупреждение. Если же данные будут скомпрометированы вновь — ей придется заплатить крупный штраф, а за третью утечку компания уже получит оборотный штраф, говорит собеседник.

Один из источников отметил, что введение оборотных штрафов к июлю 2022 года несвоевременно, потому что это может еще больше ухудшить условия для бизнеса в условиях двузначной инфляции, нарушения цепочек поставок, снижения покупательной способности россиян и т. д.

Наказание должно быть не за факт утечки, а за отсутствие мер по ее предотвращению и устранению последствий, считает президент Ассоциации больших данных (АБД) Анна Серебряникова. По ее мнению, размер штрафа должен зависеть от масштаба утечки и ущерба. Но преподаватель Moscow Digital School Олег Блинов считает внедрение оборотных штрафов полезной инициативой, которая стимулирует бизнес выделять средства на защиту информации. ^[18]

Минцифры поддержало идею оборотных штрафов за утечку персональных данных

Минцифры поддержало идею оборотных штрафов за утечку персональных данных. Об этом стало известно 21 февраля 2022 года.

В Минцифры уверены, что мера поможет сократить число утечек.

В Совете федерации в ходе круглого стола обсуждалось предложение ввести оборотные штрафы для операторов персональных данных за их утечки. Инициативу поддерживают в Минцифры. Разработка поправок в законодательство, предусматривающих введение оборотных штрафов.

Существующие на февраль 2022 года штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области ПД, в связи с чем введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками ПД, - сообщил представитель министерства.

В то же время директор Института исследований интернета Карен Казарян сообщил о разработке поправок в законодательство, вводящих оборотные штрафы для операторов ПД за их утечки. Эту информацию подтвердила директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович.

Максимальный штраф для компании за утечку персональных данных граждан на февраль 2022 года составляет 500 тыс. руб. По мнению Орехович, такая сумма не способна принудить крупные компании выполнять требования закона.

Конечно, введение оборотных штрафов может существенно снизить число утечек. Но очень важно — и на это обратили внимание на заседании представители Роскомнадзора и Совета Федерации — нужно учитывать и степень вины привлекаемого к ответственности юрлица, — продолжила она, разъяснив, что одно дело, когда компания не выполнила необходимые процедуры по защите персональных данных сотрудников и клиентов, и другое — когда имел место умысел одного из сотрудников[19].

2021: РКН предложил обязать операторов персональных данных платить компенсацию жертвам утечек

23 марта 2021 года появилась информация о том, что Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам интернет-мошенничеств, если они связаны с утечками по вине операторов.

Замруководителя ведомства Владимир Логунов на заседании межфракционной рабочей группы Госдумы по борьбе с киберпреступностью предложил обязать операторов персональных данных компенсировать моральный вред жертвам связанного с утечками онлайн-мошенничества.

«Это такая инновационная идея, которую мы планируем на площадке Государственной думы проработать, чтобы возмещение ущерба, морального ущерба, субъекту персональных данных было соразмерно этому ущербу», — заявил Логунов.

Представитель Роскомнадзора отметил, что чаще всего интернет-мошенничеству подвержены люди старшего поколения и те, которые имеют несовершеннолетних детей.

"Только 17% обманутых в сети попытались возбудить уголовное дело, и 83%, когда у них были утрачены данные, или когда они были каким-то образом обмануты, не обращаются в МВД. Поэтому важно профилактировать такие нарушения на ранних этапах, проводить обучение пользователей", - подчеркнул он.[20]

2020: Минюст России предложил значительно увеличить штрафы за утечку персональных данных

Министерство юстиции России предложило значительно увеличить штрафы за утечку персональных данных. Реализовать это предложено путем внесения поправок в Кодекс об административных правонарушениях (КоАП). Штрафы за утечку персональных данных в предложенной версии КоАП Минюст предлагает увеличить в ряде случаев более чем в десять раз. В случае принятия поправок изменения коснутся как юрлиц, так и должностных лиц, а также индивидуальных предпринимателей (ИП) вместе с физлицами. Об этом стало известно 3 июня 2020 года.

Для физических лиц размер штрафа, на начало июня 2020 года составляющий 2000 руб., предложено увеличить до 20 тыс. руб. Должные лица будут платить за утечку не нынешние 10 тыс. руб., а до 100 тыс. руб. а ИП – до 300 тыс. руб. вместо 20 тыс. руб. Максимальный размер штрафа предусмотрен для юридических лиц – на 3 июня 2020 года он равен 50 тыс. руб., но Минюст предлагает увеличить его до 500 тыс. руб.

В проекте КоАП сказано, что изменения будут внесены в часть 6 статьи 33.1 (Невыполнение обязанности по соблюдению конфиденциальности персональных данных). Действующие до вступления в силу новой версии Кодекса штрафы предусмотрены в части 6 статьи 13.11 КоАП.

Ведомство опубликовало проект КоАП на федеральном портале проектов нормативных правовых актов 29 мая 2020 г. Номер проекта – 02/04/05-20/00102447, и на 3 июня 2020 года он находился на этапе публичного обсуждения, дата завершения которого – 24 июня 2020 г.

В настоящее время поправки об увеличении штрафов разрабатывает также комитет Госдумы по информационной политике, информационным технологиям и связи.

Проект Минюста по завершении этапа общественного обсуждения и после межведомственного согласования будет внесен в правительство РФ, сообщили представители министерства. По их словам, состав правонарушений, предусматривающий предложенные штрафы, создавался рабочей группой по предложению комитета Совета федерации по конституционному законодательству и государственному строительству.

ИБ-эксперты отмечают стремительный рост числа утечек персональных данных в России. Согласно статистике InfoWatch, по итогам 2019 г. их суммарное число оказалось на 40% в сравнении с показателями 2018 г.

Сооснователь и техдиректор ИБ-компании DeviceLock Ашот Оганесян уточнил, что в 2020 г. ситуация продолжит ухудшаться на фоне пандемии коронавируса, режима самоизоляции и вынужденного перехода людей на удаленную работу. По его словам, в связи с этим количество попыток несанкционированного доступа к персональным данным выросло приблизительно на 50%, и лишь около 10% от общего их числа – это действия хакеров. В то же время 30% инцидентов такого рожа связаны с противоправными попытками скопировать клиентские базы данных и передать их третьим лицам, к примеру, через мессенджеры.

Увеличение штрафов за утечку персональных данных может в итоге не привести к уменьшению числа самих утечек. Директор юридического департамента «Московского кредитного банка» (МКБ) Ирина Гудкова, отметила, что штраф до 500 тыс. окажется значительным лишь для компаний малого бизнеса. Крупные предприятия воспримут его как «небольшую неприятность» - по ее мнению, таким компаниям важнее потеря репутации вследствие правонарушения.

Схожего мнения придерживается и председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. По его словам, стоимость баз с персональными данными в даркнете в несколько раз превышает размеры максимально возможного штрафа, предусмотренного Минюстом. В DeviceLock уточнили, что в 2019 г. стоимость одной записи в БД начиналась от 70 руб. К примеру, при размерах базы в пределах 150 тыс. ее общая стоимость могла достигать 10,5 млн руб^[21].

2019: Средний штраф за утечку данных из компании в России оценен в 30 тыс. рублей

В 2019 году зафиксировано шесть штрафов и решений по выплате компенсаций, которые были наложены на компании в России за утечки персональных данных. Это 2,8% от общего числа вынесенных Роскомнадзором штрафов за различные нарушения в области защиты информации, свидетельствуют данные InfoWatch.

По словам экспертов, в исследовании учитывались инциденты, о которых стало известно публично. В них суммарный штраф составил 180,5 тыс. рублей или 16,4% от общей суммы штрафов за нарушения законодательства о защите персональных данных.

В 2019 году количество штрафов и решений по выплате компенсаций за утечки персональных данных в компаниях по всему миру, увеличилось примерно на 90%

Средний размер финансового наказания бизнеса за утечку персональных данных в РФ по итогам 2019 год составил чуть более 30 тыс. рублей или $465, исходя из средневзвешенного курса доллара за год. Для сравнения, в Британии средний штраф измерялся $50,6 млн, что в 107 раз больше, чем в России.

В отличие от США и Евросоюза, российское законодательство в области защиты персональных данных пока достаточно мягкое, но положение начинает меняться, — говорит руководитель направления аналитики и спецпроектов Infowatch Андрей Арсентьев. — Например, уже ужесточена ответственность за невыполнение требований о хранении персональных данных на территории России.

По мнению эксперта, не стоит широко копировать западные подходы, поскольку к марту 2020 года сфера корпоративной информационной безопасности в России остается относительно молодой и переживает серьезный дефицит кадров, методик защиты информации и опыта использования современных технических решений. Но опыт зарубежных информационных регуляторов необходимо изучать, критически переосмысливать и правильно адаптировать под отечественную почву, считает Арсентьев.

В Infowatch добавляют, что российской законодательной практике происходят изменения в сторону ужесточения к требованиям защиты персданных во многом потому, что регуляторы стали более требовательно относиться к защите такой информации.^[22]

Примечания