Бизнес предупредил о рисках штрафов за «мнимые» утечки данных
Ассоциация больших данных (АБД), куда входят «Яндекс», VK, «Ростелеком», «МегаФон», Сбербанк, Газпромбанк, Тинькофф Банк и другие, раскритиковала законопроект об оборотных штрафах за утечку персональных данных, сообщают «Коммерсантъ» и Forbes со ссылкой на отзыв АБД, направленный в аппарат правительства, Минцифры, Минэкономики и Минюст.
В письме ассоциация отметила, что иногда под видом новых утечек в свободном доступе публикуются компиляции из данных, которые были раскрыты самостоятельно их субъектами (субъект персональных данных — физическое лицо; в качестве персональных данных могут выступать ФИО, адрес, дата рождения и т.д.). Создание компиляций публичных данных не нарушает закона, отмечает «Коммерсантъ».
АБД предлагает добавить в законопроект положение, по которому наказание за утечку не будет распространяться «на случаи самостоятельного раскрытия данных неопределенному кругу лиц самим субъектом персональных данных». Ассоциация хочет также ввести в Административный кодекс ответственность за заведомо ложное сообщение об утечках и фальсификацию доказательств.
Законопроект возлагает ответственность на компанию вне зависимости от причин утечки и может привести к снижению инвестиций в защиту персональных данных, считают в АБД. Представители ассоциации считают, что 72 часов, в течение которых компания должна уведомить Роскомнадзор о результатах внутреннего расследования утечек, недостаточно и предлагают увеличить срок до 30 дней. В АБД также считают несправедливой предложенную методику расчета оборотных штрафов.
В Минэкономразвития заявили Forbes, что готовы с другими ведомствами «обсуждать обеспокоенность бизнеса для выработки редакции законопроекта, которая обеспечит и сохранность данных, и возможность для отрасли развиваться». В аппарате правительства сообщили, что пока не получали письмо АБД.
Над законопроектом об оборотных штрафах работали сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Александр Хинштейн. В конце июля они направили финальную версию премьеру Михаилу Мишустину. Так, согласно документу, за первую утечку компаниям будет грозить штраф до 15 млн руб. За повторную предлагается штраф от 0,1 до 3% выручки за год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн и не более 500 млн руб.
Сейчас максимальный штраф за утечку составляет 100 тыс. руб., при повторном нарушении — 300 тыс. руб.
В этом году число утечек персональных данных выросло в десятки раз, писали «Известия» со ссылкой на Роскомнадзор. В 2021-м было зафиксировано четыре крупных инцидента, когда в открытый доступ попало 2,7 млн записей. В прошлом году утечек было более 140 (около 600 млн записей), а за первые семь месяцев этого года — более 150.