Деловые организации, в частности «Деловая Россия», начали лоббировать доработку штрафов для компаний, допустивших утечку персональных данных. Они предлагают отложить изменения до 2026 года.
Важно подчеркнуть необходимость выработки оптимального, взвешенного регулирования в сфере персональных данных, которое будет одновременно учитывать интересы граждан, бизнеса и государства. <...> Полагаем, что документ нуждается в дополнительном обсуждении со всеми заинтересованными сторонами и соответствующей доработке, — указано на сайте «Деловой России».
Законопроект предусматривает штрафы за утечку персональных данных в размере до 15 млн рублей за первое правонарушение и до 3% годовой выручки (но не более 500 млн рублей) — за повторное. Небольшим игрокам рынка, в частности развивающимся IT-старпатам, это может грозить банкроством. Однако профильные юристы указывают, что меры должны способствовать развитию превентивных мер против хакеров, но отвественность сама по себе может быть использована и конкурентами компаний.
Сама по себе ответственность, ее ужесточение, сможет стать основанием для подробного пересмотра предпринимателями собственных мер по защите персональных данных, но напрямую на борьбу с хакерами и мошенниками такие изменения не влияют. Напротив, чрезмерная ответственность сможет стать в том числе способом конкурентной недобросовестной борьбы, — прокомментировал изменения в законодательстве юрист компании PMP Руслан Халидов.
Халидов также указывает, что именно Роскомнадзор в случае утечки у компании должен доказать, что бизнес не предпринял все необходимые меры для защиты данных клиентов.
В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных (ч. 3.1. ст. 21 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ), результатом такого уведомления, скорее всего, станет проверка со стороны Роскомнадзора и, как следствие, возбуждение дела об административном правонарушении в отношении компании по ч. 1 ст. 13.11 КоАП РФ. Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Суд должен установить, какие меры защиты персональных данных организация обязана была предпринять, но не сделала этого, — сообщил SPB.DK.RU Руслан Халидов.
В итоге, на рынке можем получить новый тренд: компании будут тщательнее фиксировать те меры, которые они предпринимают для защиты данных пользователей. Кроме того, компании все-таки будут и тщательнее следовать закону, который четко демонстрирует порядок действий, которые IT-рынок (и не только) должен предпринимать для получения паролей, адресов и фио клиентов, прогнозирует Халидов.