Утечки, штрафы и шантаж
Регулирование / Статьи
информбезопасность персональные данные
16.12.2022

Утечки, штрафы и шантаж

Что было в нынешнем году и что будет 2023-м в сфере персональных данных

Масштабная реформа сферы защиты персональных данных (ПД), прошедшая в 2022 году в РФ, повлекла за собой тектонические изменения: резко возросло количество операторов ПД, их общение с регуляторами стало интенсивней, а трансграничная передача данных превратилась в головоломку. При этом нарастающий вал утечек личной информации россиян подталкивает законодателей к применению «денежной дубинки». Как завершится затянувшаяся интрига в вопросе штрафов за утечку ПД и что день грядущий готовит бизнесу и россиянам, рассказали эксперты по персданным.

ТРИ ПРОЦЕНТА И СМЯГЧАЮЩИЕ

Размер денежного наказания за потерю ПД может составить до 3% от оборота компании, сообщил глава Минцифры РФ Максут Шадаев. Появятся и смягчающие обстоятельства, под которыми будет пониматься аттестация и сертификация организацией своей IT-инфраструктуры в соответствии с требованиями безопасности, а также компенсация ущерба потерпевшим, отметил министр. Пока же максимальный штраф для бизнеса за утечку ПД составляет 500 тыс. рублей.

По мнению исполнительного директора и основателя компании Б-152 Максима Лагутина, практика наказания с помощью оборотных штрафов может привести к увеличению числа случаев кибершантажа.

Максим Лагутин, Б-152:

– Злоумышленники могут сообщить компании, что получили доступ к базе данных, но они готовы не обнародовать ее за определенную сумму. В таком случае перед руководством может встать трудный выбор – заплатить штраф или поддаться шантажу.

По его словам,

идея введения наказания за утечки ПД окажет очень сильное влияние на отечественный бизнес и в 2023 году

В совокупности штрафы и компенсация окажут существенное давление на бизнес, подчеркнул эксперт на Russian Internet Week 2022 (RIW).

По мнению соучредителя ассоциации Russian Privacy Professionals Association (RPPA) Алексея Мунтяна, проблема утечек информации в настоящее время является наигранной, так как потери данных происходили и ранее, но не вызывали ажиотажного интереса.

Как отметил он на RIW-2022, на фоне нововведений в закон №152-ФЗ «О персональных данных», вступивших в силу в сентябре этого года, у регуляторов сформировалась следующая градация подобных случаев:

  • инциденты с ПД, о которых нужно уведомлять Роскомнадзор;
  • компьютерные инциденты с ПД, о которых следует сообщать ФСБ через Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

При этом, обратил внимание Алексей Мунтян, операторами ПД в России являются, кроме юридических лиц, также и физические – индивидуальные предприниматели. После реформы ФЗ-152 к взаимодействию с ГосСОПКА должно было присоединиться около 5-7 млн новых операторов. Но сейчас в системе насчитывается примерно 3,5 тыс. организаций.

Алексей Мунтян, RPPA:

– Одномоментное подключение такого количества участников нарушило бы работу ГосСОПКА, поэтому законодатели прислушались к мнению общественности и сняли требование о непрерывном взаимодействии операторов ПД с этой системой. Надзорным органам была дана возможность самостоятельно регулировать этот процесс.

Эксперт призвал компании отрабатывать аварийные действия сотрудников, отвечающих за защиту ПД в случае инцидента. Большая часть требований в этом процессе касается взаимодействия с регуляторами, подчеркнул он.

ЗАЩИЩАЙ СВОИ ПРАВА

В 2022 году в России появилась практика подачи коллективных исков пострадавших от утечки ПД. Хотя таких инициатив было более десятка, но только в одном случае суд удовлетворил иск – иск клиентов сервиса доставки «Яндекса» – и постановил выплатить истцам в качестве компенсации по 5 тыс. рублей. Максим Лагутин считает, что

пока российскому бизнесу не стоит опасаться коллективных исков за утечки ПД

Тем не менее количество судебных дел на основе жалоб физических лиц растет, отметил эксперт.

Максим Лагутин, Б-152:

– В Главном радиочастотном центре существует Центр правовой помощи гражданам в цифровой среде. Любой человек может обратиться в эту организацию, и ему помогут составить иск, поэтому количество подобных дел растет год от года. Бизнесу стоит обратить внимание на эти риски.

Несмотря на введенный мораторий на проверки со стороны Роскомнадзора, у ведомства есть инструменты мониторинга интернет-активности компаний, обратил внимание эксперт. Поэтому, подчеркнул он, «расслабляться не стоит», ведь

Роскомнадзор продолжает реагировать на жалобы физлиц и утечки ПД, а Минцифры передает ведомству информацию о подобных инцидентах

Сильное лобби операторов сотовой связи, банков и ритейлеров уже достаточно давно добивается разрешения на работу с обезличенными данными. При этом сейчас в российском законодательстве существует правовая коллизия, ведь на рынке РФ уже есть услуги по анонимизации данных, но работают они «из-под полы». С большой вероятностью в будущем году механизмы обезличивания ПД могут узаконить, полагает глава Б-152.

Среди прочих факторов, по мнению Максима Лагутина, на рынок влияют:

  • кадровый дефицит программистов и специалистов в сфере защиты данных;
  • автоматизация сферы защиты ПД;
  • возможное введение добровольной сертификации систем информбезопасности;
  • детализация политики конфиденциальности по каждой цели обработки ПД;
  • автоматическая проверка веб-сайтов на соответствие требованиям Роскомнадзора;
  • возможное введение страхования от утечек ПД.

Одним из самых ожидаемых событий 2023 года является вступление в силу новых требований к работе с биометрическими данными в России. Максим Лагутин отметил, что

компаниям, работающим с биометрическими данными, необходимо будет соблюдать условие по участию иностранных инвесторов в уставном капитале, поэтому этот рынок ждет большой передел

Кроме того, в будущем году в поле зрения законодателей могут попасть регулирование рекомендательных алгоритмов и расширение экспериментальных правовых режимов, обратил внимание эксперт.

СТАТУС: ВСЕ СЛОЖНО

Изменения в правилах трансграничной передачи данных, которые вступят в силу с 1 марта, полностью переформатируют сложившуюся систему отношений с иностранными партнерами, заявил на RIW-2022 консультант по вопросам персональных данных Александр Партин. Он подчеркнул, что

трансграничная передача – это передача ПД на территорию иностранного государства, иностранным властям, юридическим или физическим лицам

Александр Партин, консультант по вопросам персональных данных:

– Например, ваша компания нашла клиента за рубежом, сообщила, что представителем на переговорах будет сотрудник по имени Иван Иванович Иванов, и отправила его контактные данные. Это и есть трансграничная передача данных.

Если российская компания передает сведения своему представительству или филиалу, находящемуся за рубежом, – это передачей за рубеж не является, так же как и передача сведений иностранному лицу на территории РФ.

В целом, с 1 марта при трансграничной передаче нужно будет выполнять следующие требования:

  • уведомлять Роскомнадзор о намерении передавать ПД за границу;
  • информировать о получателе ПД;
  • обеспечивать удаление ПД иностранным получателем, если Роскомнадзор принял решение об ограничении или запрете передачи таких сведений;
  • запрещать/ограничивать трансграничную передачу ПД по требованию Роскомнадзора;
  • обосновывать передачу данных в «неадекватные страны».

Александр Партин, консультант по вопросам персональных данных:

– Компании могут передавать ПД в страны адекватной юрисдикции (члены Конвенции по защите прав физических лиц при автоматизированной обработке данных) по базовым основаниям закона «О персональных данных». В «неадекватные», то есть не участникам Конвенции, передача возможна при согласии субъекта ПД в письменной форме или для выполнения договора с субъектом ПД.

В настоящее время ответственность за первый случай нарушения требований по трансграничной передаче данных установлена в размере 30–150 тыс. рублей. Санкции наступают в основном из-за несоблюдения требований о письменном согласии на обработку ПД.

С 1 марта 2023 года в качестве наказания будут установлены базовые штрафы 60–100 тыс. рублей. Таким образом, отметил юрист, ответственность компаний снизится.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании