Бизнес предлагает альтернативу крупным штрафам за утечки данных

Ужесточение наказания лучше заменить саморегулированием — принятием отраслевого стандарта и проведением независимого аудита IT-компаний, считают в Ассоциации больших данных.

Скоро Госдума начнет рассматривать проект об усилении ответственности бизнеса за ненадлежащее хранение биометрии. Сейчас максимальный размер санкции за утечки персональных данных граждан не превышает 300 000 руб. Если поправки примут, то за такое нарушение компанию могут оштрафовать на сумму до 20 млн руб. С такой перспективой не были согласны ни бизнес, ни Минэк, предлагавшие разные альтернативы поправкам. Как стало известно Forbes, бизнес решил снова побороться за смягчение мер и предложил властям еще один вариант решения проблемы утечек: принять отраслевой стандарт защиты данных, который включает независимый аудит для IT-компаний на соответствие этому стандарту.

Концепцию разработали в Ассоциации больших данных (АБД), куда входят «Яндекс», VK, Сбербанк, «Газпромбанк», «Ростелеком», МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве и Центр стратегических разработок. В АБД объяснили: чем больше чувствительных данных собирает компания, тем серьезнее будут требования к безопасности инфраструктуры. Концепция определяет надежные подходы к хранению и сбору данных, а также методики улучшения систем информбезопасности. 

Законодательство За утечки данных бизнес заплатит до 20 млн штрафа

В ассоциации уточнили, что компании смогут добровольно проходить оценку соответствия новому стандарту. В первую очередь будут оценивать их процессы организации и управления защитой данных, политику по защите информации и план мероприятий по отработке угроз. Еще при аудите предлагается изучать, как фирма выявляет уязвимости, реагирует на внештатные ситуации и тренирует персонал. Такой аудит компании должны будут проводить не реже одного раза в год. В Минцифры на это предложение ответили, что порядок обращения с данными уже регулирует закон № 152, а другие инициативы можно рассматривать лишь в формате дополнения к нему. Идею АБД нужно сначала обсудить с другими регуляторами, отраслью и экспертами, добавили в ведомстве.

Идея разработки отраслевого стандарта и иные подобные предложения выглядят разумно, признает Владислав Архипов, старший советник Denuo Denuo Федеральный рейтинг. группа АПК и сельское хозяйство группа Комплаенс группа Международный арбитраж группа Недвижимость, земля, строительство группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Транспортное право группа Частный капитал группа Антимонопольное право (включая споры) группа ВЭД/Таможенное право и валютное регулирование группа ГЧП/Инфраструктурные проекты группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа Корпоративное право/Слияния и поглощения (high market) группа Морское право группа Налоговое консультирование и споры (Налоговое консультирование) группа Природные ресурсы/Энергетика группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Трудовое и миграционное право (включая споры) группа Финансовое/Банковское право группа Интеллектуальная собственность (Защита прав и судебные споры) группа Арбитражное судопроизводство (крупные коммерческие споры - high market) Профайл компании × Но, по его мнению, они станут действительно скорее дополнением к итоговому решению. Эксперт объясняет: повышенная ответственность за нарушение обработки биометрии связана с особым характером этих данных. Если их каким-либо образом скомпрометируют, то «сменить» эти данные, как это можно сделать, например, с номером телефона или адресом электронной почты, нельзя. Поэтому от операторов биометрии и ожидают повышенную бдительность, пояснил Архипов.

Строгость предложенных мер ответственности для операторов эксперта не удивляет.

Бизнес предлагает альтернативу крупным штрафам за утечки данных

Критику обычно больше вызывали непропорционально низкие штрафы за нарушение в области обработки персональных данных, которые долгое время были стандартом в законодательстве РФ.

Владислав Архипов

Введение высоких или оборотных штрафов за нарушения в области персональных данных, тем более биометрических, уже давно практикуется во многих странах мира, отметил юрист. И вероятность, что ответственность за утечки биометрических персональных данных все же ужесточат, можно считать довольно высокой. Хоть и не все с этим согласны, заключил Архипов.

pravo.ru