На фоне недавних событий с утечкой данных пользователей сервиса «Яндекс.Еда», Минцифры предложило ввести оборотные штрафы для компаний, допускающих утечки данных пользователей. В сеть попала информация с персональными данными, банковскими картами, историями заказов и адресами пользователей, которые могут существенно простимулировать мошенническую активность в стране.
О том, какими могут быть штрафы за утечку данных и отсутствие должного внимания к обеспечению их безопасного хранения рассказала доцент кафедры информационных технологий Южно-Российского института управления РАНХиГС Наталья Никоненко:
«Давно назрело»
В настоящее время активно обсуждается утечка персональных данных с одного из сервисов Яндекса, но это не первый случай такой резонансной утечки. Не так давно было известно об утечках персональных данных клиентов крупных банков России. Поэтому решение Минцифры ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных уже давно назрело. Да, у нас очень существенные штрафы за невыполнение требований локализации, но меры наказания за допущение утечек не могут быть сравнимы с ними.
Что грозит «Яндексу»
Российское законодательство идет по пути увеличения штрафов, недавние изменения в КоАП (ст.13.11) об этом свидетельствуют. Увеличился срок исковой давности до года, но если рассматривать данную конкретную ситуацию, то можно рассматривать ч. 1 ст.13.11, а это для юридического лица от 60 до 100 тыс. рублей.
Какие штрафы уже применялись
А теперь сравним с суммами штрафов, которые взыскал Роскомнадзор (РКН) за несоблюдение требований по локализации (по данным семинара РКН от 28.01.2022, приуроченного к международному дню защиты персональных данных):
– «WhatsApp LLC» – 4 млн. руб.,
– «Google LLC» – 3 млн.руб.
И в данной ситуации можно вспомнить общемировую практику. Например, согласно GDPR, предусмотрено наложение штрафов (до 20 млн евро, или 4% мирового оборота), а это уже существенно. И сразу вспоминаются примеры резонансных утечек персональных данных компании British Airways (инцидент был в сентябре 2018 года) – штраф €204600000, в сети отелей Marriott – штраф €110390200.
Вывод
А теперь сопоставим эти штрафы, как видно, они не сопоставимы. Размер штрафов стимулирует операторов защищать персональные данные пользователей. А согласно данным РКН, свыше 80% проверок выявили работу операторов с нарушениями. В данном контексте интересен и опыт КНР, где усиливают свое законодательство по персональным данным.