Ассоциация больших данных выступила против законопроекта об оборотных штрафах за утечки
Ассоциация больших данных (АБД), куда входят Яндекс, VK, Сбер, Мегафон, Ростелеком, QIWI, МТС, Авито и другие, выступила с критикой законопроекта об оборотных штрафах за утечку персональных данных.
Как сообщает Forbes, АБД направила в аппарат правительства, Минцифры, Минэкономразвития и Минюст письма с отзывом на законопроект, где указывается, что он не достигает своей цели. Законопроект должен «стимулировать бизнес инвестировать в развитие инфраструктуры ИБ и защиту персональных данных своих пользователей», однако, неопределенность состава правонарушения в его положениях фактически приводит к введению безвиновной ответственности для бизнеса, так как независимо от причин утечки ответственность возлагается на компанию. В АБД считают, что это несправедливо и противоречит базовым принципам гражданского законодательства и КоАП.
Кроме того, АБД опасается, что принятие законопроекта в текущем виде может привести к снижению инвестиций в защиту персональных данных, так как ответственность без вины не дает бизнесу стимулов для усиления безопасности. Даже если компания выполнит все возможные требования по защите данных своих сотрудников и клиентов, то в случае взлома хакерами она все равно будет привлечена к ответственности.
Согласно позиции АБД, необходимо стимулировать бизнес инвестировать в защиту данных с помощью аудитов на соответствие повышенным требованиям в области информбезопасности. В таком случае государство должно взять на себя обязательства смягчать наказание или вовсе не штрафовать компанию, которая сделала все необходимое для защиты данных. Такой подход позволит существенно повысить защищенность персональных данных и сократить количество утечек.
Напомним, впервые о планах Минцифры подготовить законопроект о введении оборотных штрафов за утечку персональных данных стало известно в феврале 2022 года. Разработка инициативы была ускорена из-за громких инцидентов, которые произошли в течение года. В декабре законопроект был доработан и предполагал размеры штрафов для компаний в диапазоне от 5 до 500 млн рублей.
В июле текущего года сенаторы Андрей Турчак, Ирина Рукавишникова и депутат Александр Хинштейн внесли в правительство поправки в КоАП, предусматривающие наложение штрафов не за факт утечки личной информации, а за «действия или бездействие оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные». Также поправки подразумевают, что компания должна сообщить в Роскомнадзор об инциденте в течение 24 часов и о результатах проведенного внутреннего расследования в течение 72 часов: несоблюдение этих обязанностей является отягчающим обстоятельством.
