Предложен новый подход к ответственности операторов ПД
Законопроект Минцифры о введении штрафов за утечки персональных данных (ПД) должен стимулировать работу в области информационной безопасности, а не нести репрессивный характер, полагают в Российском союзе промышленников и предпринимателей (РСПП).
Предлагаемая норма создает неоправданные риски для добросовестных компаний, чьи базы данных оказываются под угрозой по вине иной стороны, имеющей доступ к конфиденциальной информации, обращают внимание в РСПП.
Там предложили новый подход к установлению ответственности операторов ПД:
1. Минцифры РФ, Роскомнадзор и эксперты рынка разрабатывают рекомендательные меры по защите ПД с учетом особенностей данных и риск-ориентированного подхода. Эти меры должны быть основаны на анализе «лучших решений и технологий в области информационной безопасности» в России. Если оператор ПД их в полном объеме выполняет, но утечка все-таки происходит, то оборотный штраф не может применяться (в том числе за повторную утечку).
2. Если оператор ПД принимает решение о самостоятельном определении принимаемых мер по защите ПД с учетом требований законодательства РФ, но у такого оператора происходит утечка, тогда возможен оборотный штраф в случае повторного правонарушения.
Также предлагается предусмотреть исключение возможности привлечения к ответственности операторов, если субъекты ПД сами разместили сведения для неограниченного круг лиц, либо действия (бездействия) субъектов привели к разглашению, изменению или удалению их информации.
