Увеличение штрафов за нарушение закона о ПД одобрено во 2 чтении

Госдума РФ одобрила во втором чтении законопроект об ужесточении административной ответственности за нарушение положений закона о персональных данных, сообщает агентство «Рапси».

Инициатором законопроекта выступает правительство РФ. Согласно проекту закона, предлагается существенно расширить статью 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса Российской Федерации об административных правонарушениях (КоАП).

В соответствии с указанной статьей максимальный штраф для юрлиц за нарушение требований закона о персональных данных составляет 10 тысяч рублей. Как полагают авторы законопроекта, с развитием информационно-коммуникационных технологий растет объем и масштаб нарушений в области персональных данных. В связи с этим законопроект предлагает увеличить суммы административных штрафов и налагать их в соответствии с размером ущерба, причиненного нарушением.

Согласно документу, максимальный штраф для граждан за нарушения при обработке персональных данных составит 5 тысяч рублей, для должностных лиц - 20 тысяч рублей, а для индивидуальных предпринимателей и юрлиц - 20 тысяч и 75 тысяч рублей соответственно.

Максим Лагутин, директор Б-152

Это событие точно повлияет на то, что часть операторов персональных данных, которые отложили вопрос с соблюдением требований законодательства по персональным данным на потом, вернуться к нему. Но не уверен, что это повлияет именно на защиту персональных данных.

На это больше повлиял инцидент с блокировкой Linkedin, после чего многие международные компании озаботились вопросом именно защиты персональных данных.

Законопроект в любом случае влияет на всех владельцев баз с персональными данными.

Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании "Инфосистемы Джет"

Данные несколько раз откладываемые изменения определенно положительно скажутся на выполнении требований по защите персональных данных в российских организациях. На фоне смехотворных штрафов, которые есть сейчас, бизнес зачастую "принимал риски" и ничего не делал для защиты персональных данных. Однако и новые штрафы нельзя назвать большими. Они явно не пропорциональны возможному урону для субъектов персональных данных, который возникает при крупных утечках. В Евросоюзе штрафы за нарушения в области защиты персональных данных измеряются сотнями тысяч и даже миллионами евро.

Кроме того, существующие и обновленные штрафы предусмотрены за формальные нарушения требований законодательства, а не за утечки данных, и не пропорциональны нанесенному урону.

Конечно же, обновленные штрафы повлияют в первую очередь на средний и малый бизнес, а не владельцев крупнейших баз персональных данных. Однако, они дают хоть какие-то рычаги давления на многочисленных злостных нарушителей законодательства, распоряжающихся персональными данными граждан, как им заблагорассудится.

Владимир Лебедев, директора по развитию бизнеса Stack Group

Закон 152ФЗ «О персональных данных» действует в России уже более 10 лет, и за это время накоплена достаточная правоприменительная практика по вопросам нарушений законодательства в области защиты и обработки персональных данных. В перечень плановых проверок на протяжении этого времени попадали как государственные, так и коммерческие организации практически всех отраслей экономики, самых различных размеров, начиная от небольших организаций до крупных государственных и международных компаний. При этом, зачастую, соотношение затрат на мероприятия по приведению процессов и информационных систем обработки персональных данных в соответствие требованиям законодательства и размера ответственности были несоизмеримыми: затраты на приведение в соответствие на порядки больше, чем размер финансовых рисков привлечения к административной ответственности. Безусловно, размер штрафов не является единственным фактором, который рассматривают компании при реализации таких проектов, большое внимание также уделяется операционным, репутационным и юридическим рискам. Для крупных компаний такие риски являются наиболее критичными. На мой взгляд, увеличение штрафов (а законопроект об этом рассматривался еще с 2011 года), несомненно, повлияет на решения многих компаний к более внимательному отношению к вопросам соответствия, однако также большую роль будут играть конкретные решения контролирующих органов в квалификации нарушений и фактическому применению данных изменений законодательства.

Александр Суханов, эксперт по информационной безопасности «МФИ Софт»

В законе «О персональных данных» предусмотрена ответственность только за нарушение правил обработки персональных данных, а не за инцидент. Как следствие – компании не защищают данные от утечки, а озабочены защитой от санкций со стороны регуляторов, – «для галочки». Ожидаемых изменений в части ответственности за утечку персональных данных в законе не появилось.

Мы недавно проводили исследование черного рынка баз данных, которое показало, что данные почти всех граждан России уже находятся в свободной продаже. Среди них базы данных крупных банков, операторов связи, торговых компаний. Общий объем рынка таких нелегальных баз насчитывает 30 млн руб. Причем цена одной записи варьируется от 0,02 до 10 руб., а средняя цена базы составляет 15 тыс. руб.

Все это говорит о низком уровне защиты персональных данных и, судя по цене, предложение превышает спрос.

Увеличение финансовых санкций могло бы повлиять на компании, где из-за низких штрафов вообще не защищали персональные данные, – побудить их выполнять требования по защите данных клиентов и сотрудников. Но сумма штрафа в 75 тыс. рублей вряд ли что-то изменит.

Требования закона «О персональных данных» одинаково распространяются на всех операторов, обрабатывающих персональные данные, как на небольшие компании, так и на владельцев больших баз данных, поэтому и санкции будут распространяться на всех. Любую компанию регулирующие органы могут проверить на выполнение требований законодательства и обязать устранить нарушения до повторной проверки.