За последние два года во всем мире резко вырос объем штрафов за утечки персональных и платежных данных, говорится в отчете InfoWatch (компания анализировала только публичную информацию). Если в 2017 году по результатам 39 инцидентов государственные и коммерческие организации выплатили около $45 млн, то в 2018 году регуляторы вынесли уже 57 штрафов компаниям на общую сумму свыше $320 млн, отмечает InfoWatch. По ее данным, самым крупным в 2018 году стал штраф компании Uber в размере $148 млн за допущенную в 2016 году утечку персональных данных более 57 млн клиентов и водителей. При этом в России в 2017–2018 годах не было публичных сообщений о штрафах за утечки таких данных, говорится в отчете InfoWatch.
В 2018 году органы Роскомнадзора составили 30 административных протоколов в случаях, когда оператор персональных данных не обеспечил безопасные условия хранения данных и это привело к неправомерному доступу к личной информации граждан, сообщили “Ъ” в пресс-службе ведомства. Общий размер штрафов там не раскрыли. В ведомстве пояснили, что утечке персональных данных соответствует состав ч. 6 ст. 13.11 КоАП РФ. Она предусматривает максимальный штраф для юридического лица до 50 тыс. руб.
В России предусмотрена ответственность не за саму утечку, а за нарушения требований к безопасности, которые и привели к ней, поясняет Антон Удовиченко, руководитель отдела аудита «Инфосекьюрити». Закон не предусматривает серьезных штрафов, поэтому информация о них не способна вызвать такой резонанс, как это происходит в Европе и Америке, комментирует он данные InfoWatch.
Российское законодательство предусматривает настолько незначительное финансовое наказание, что проще допустить утечку и заплатить штраф, чем обеспечить надежную защиту персональных данных, считает Галина Рябова, руководитель отдела развития продуктов Solar Dozor компании «Ростелеком-Solar». Большинство утечек происходит безнаказанно для организаций-виновников, соглашается Владимир Ульянов, руководитель аналитического центра Zecurion Analytics. «30 штрафов за год это мало»,— уверен он.
В России за утечки данных в цифровой форме ответственность не существует в принципе, полагает основатель и технический директор компании DeviceLock Ашот Оганесян. В статье 13.11 КОАП есть только один состав, под который можно подвести ответственность за утечки данных (ч. 6), да и тот касается действий «без использования средств автоматизации», то есть бумажных архивов, отмечает эксперт.
При этом в 2018 году Минкомсвязи разработало законопроект, предполагающий наказание за создание общедоступных источников персональных данных, содержащих сведения из государственных информационных систем. Согласно проекту, за это нарушение юридическому лицу грозит штраф до 30 тыс. руб., напоминает аналитик ГК InfoWatch Андрей Арсентьев. В Минкомсвязи сообщили, что готовят сразу несколько законопроектов, в которых формализуется ответственность, включая финансовую, за разглашение персональных данных без согласия субъекта этих данных. «Возможный размер штрафных санкций обсуждается. Этот вопрос будет проработан в течение первой половины 2019 года»,— добавили в пресс-службе.
В минувшем году в ЕС уже вступил закон об усилении ответственности за нарушение в области персональных данных (GDPR), напоминают в компании. Надзорный орган в Европе по соблюдению GDPR может выдавать предупреждения по устранению нарушений, наложить запрет для организации на обработку данных, а также оштрафовать ее на сумму не более €20 млн или 4% от годового оборота организации, отмечает юрист юридического департамента НЮС «Амулекс» Валентин Контарев.
Кристина Жукова