Законодательство, регулирующее защиту персональных данных (ПД) граждан, долгие годы подвергалось справедливой критике. После ряда уточняющих правок, в частности, в 2021 году изменивших правила обработки общедоступных ПД, регулятор переходит к более радикальным действиям.
5 апреля 2022 года, по данным издания «Коммерсант», стало известно, что Минцифры и Роскомнадзор в 2022 году внесут в Госдуму инициативу о введении оборотных штрафов для бизнеса за утечки персональных данных. Об этом заявил министр цифрового развития Максут Шадаев в ходе заседания комитета Госдумы по информполитике. «Мы понимаем, и последние массовые утечки говорят о том, что, конечно, те штрафы, которые мы в два раза увеличили, ситуацию кардинальным образом не спасают», — отметил тогда Максут Шадаев.
И уже 18 мая 2022 года директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин на пресс-конференции «Кибербез в новых реалиях: что будет дальше», проведённой на форуме Positive Hack Days 11, заявил: «Оборотные штрафы для компаний за утечки персональных данных введут, скорее всего, в течение этого года. Размер штрафа должен быть “очень большим” и составить, например, 1% от оборота компании».
Владимир Бенгин также считает, что нужно ввести наказание для компаний за неуведомление об утечке. В противном случае, по его словам, в законодательстве должен быть предусмотрен ещё более крупный штраф, чем за сам факт утечки данных.
Как столь радикальные изменения могут отразиться на бизнес-климате России? Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch, полагает: «Во многих случаях оборотный штраф может нанести серьезный удар по бизнесу, как минимум, затормозить развитие компаний, особенно если у них была высокая долговая нагрузка и низкая рентабельность. Однако на данный момент, это лишь один из вариантов наказания для компаний, допустивших утечки. Могут обсуждаться другие формы регулятивного воздействия, в том числе, дифференцированные штрафы (в зависимости от размера утечки, количества пострадавших, времени уведомления об инциденте и т.д.)».
Что касается примерных сумм возможных оборотных штрафов, то рассчитать их эксперт предлагает на примере компании «Яндекс.Еда»: «Конечно, сейчас можно рассуждать исключительно гипотетически, поскольку закон обратной силы не имеет. По решению суда штраф в размере 60 тыс. рублей уже назначен компании "Яндекс.Еда" как отдельному юрлицу. Выручку этой компании за 2021 год Яндекс не раскрывал, но всё фудтех-направление ("Яндекс.Еда", "Яндекс.Лавка" и "Едадил") принесло в 2021 году 37,6 млрд рублей. Так что оборотный штраф "Яндекс.Еде", если бы такой могли назначить, составил бы несколько сотен миллионов рублей».
Другой вопрос — смогут ли компании во избежание гигантских штрафов скрыть сам факт утечки ПД? Насколько это сложно?
«Действительно, долгое время компаниям было выгодно скрывать факты утечек или как минимум преуменьшать последствия инцидентов. Однако по мере усиления регулятивного давления, и осознания людьми ценности персональных данных, как основного артефакта цифрового мира, скрывать утечки становится сложнее. А главное — всё менее выгодно с точки зрения репутационных последствий. Компания, которая оперативно отреагирует на утечку, быстро свяжется с пострадавшими клиентами, проведет расследование и грамотно организует освещение инцидента в прессе, может не только сохранить лицо, но даже выиграть. Но если компания будет отпираться, скрывать очевидное и делать хорошую мину при плохой игре, это может привести к ухудшению настроений инвесторов, серьезному оттоку клиентов, а в конечном итоге даже к потере бизнеса», — прогнозирует Андрей Арсентьев.
Таким образом, регуляторы ужесточают ответственность за утечки ПД. Но, по крайней мере в некий переходный период, по мнению эксперта, «нельзя всех грести под одну гребёнку, ответственность должна быть дифференцированной, нужно учитывать разные параметры».
Как напоминают в ГК InfoWatch, оборотный штраф за утечку в размере до 4% от годовой выручки с мая 2018 года предусмотрен за нарушения GDPR — регламента Евросоюза по защите данных. Однако европейские регуляторы за четыре года не пользовались таким правом в случаях утечек. Самые крупные штрафы за допущенные утечки ПД граждан ЕС на сегодня назначены компаниям British Airways (чуть более 22 млн евро), Marriott (20,4 млн евро) и Meta* (17 млн евро).
*признана экстремистской в России, деятельность запрещена в России