Вот смотрите, сейчас активно прорабатывается вопрос об оборотных штрафах за утечки персональных данных. Да, оборотный будет только второй, а первый фиксированный и размер штрафа будет считаться по объемам и критичности персональных данных в утечках, будут еще отягчающие и смягчающие обстоятельства. Там много разного и спорного и кажется что делается это сейчас не для того, чтобы сделать бизнес безопаснее или обезопасить данные пользователей. Что думаете?
Оно понятно что в свете последних многочисленных утечек в огромнейшем количестве правительство старается обратить внимание на ИБ и хочет начать карательно контролировать это под соусом с названием “пополни бюджет штрафами за утечку”. Но теперь еще и обязательно это будет и не понятно как будут разбираться с такими делами.
Да, к чему это я на самом деле – сегодня было опубликовано постановление Правительства РФ от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)» (ссылка). Да, там речь идет про госуху, КИИ и большие предприятия, но что-то подсказываем на малый и средний бизнес это скоро тоже распространится. Как вам кажется?
± Большое разъяснение от Минцифры
Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных
По итогам обсуждений с отраслью Минцифры готовит изменения в законопроект об оборотных штрафах за утечки персональных данных. Министерство настаивает на усилении ответственности операторов персональных данных и при этом считает необходимым прояснить важные детали.
Основные изменения
Будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные. Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте. Штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф. Для оборотных штрафов будут установлены границы («от» и «до» какого процента от выручки можно будет взыскать). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным. Будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.
Позиция Минцифры
Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством, и в итоге причиняют еще больший ущерб гражданам. Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей. Сейчас вопрос нарушений законодательства в области персональных данных регулируется статьей 13.11 Административного кодекса. Максимальное наказание, установленное в ней, предполагает штраф в 500 тыс. рублей для юридических лиц. Оборотные штрафы, на введении которых настаивает Минцифры, будут исчисляться в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд руб. Реальный уровень защиты, действующий в компаниях, сейчас определить сложно. Для этого Минцифры предлагает ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности. Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с «Агенством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
И Иван Бегтин хорошо написал про ключевые тезисы законопроекта вводящего оборотные штрафы за утечки персональных данных
Я несколько дней комментировал СМИ по поводу нового законопроекта (почти закона) вводящего оборотные штрафы за утечки персональных данных и, вроде бы, ещё не писал здесь.
Сформулирую несколько ключевых тезисов:
Утечки персональных и иных конфиденциальных данных - это, безусловно, серьёзная проблема. Она стала серьёзнее с того момента как российские компании потеряли возможность на диалог с зарубежными регуляторами и теперь не могут получить содействия в удалении утекших данных с зарубежных хостингов.
К предыдущим проблемам утечек связанных с работой коммерческих хакеров сейчас добавилась идеологизированная ситуация с тем что утечки не только происходят, но и на их основе создаются интерактивные продукты ориентированные уже не на хакеров, а на обывателей, чем обывателей довольно сильно пугают.
Декларируемый законопроект призван, как может показаться из выступлений инициаторов, защитить гражданина от утечек, а ещё точнее “ввести драконовские меры” напугать цифровые компании чтобы те вложили больше ресурсов в безопасность пользовательских данных
Все основные меры законопроекта - карательно контрольные. Мол получите штраф, подключитесь к ГосСопке и получите ещё штраф если не уведомили пользователей.
Главное чего нет в законопроекте - это интересов гражданина и пользователя. Штрафы идут в федеральный бюджет а гражданин не получает компенсации, ни материальной, ни моральной. Он вообще ничего не получает кроме того что узнает что вот этой компании сделали больно.
В то же время последние выступления о том чтобы ввести 3-х уровневое наказание для компаний и за первую утечку только пожурить вызывают только смех. У большинства крупных цифровых холдингов и не было больше одной утечки за последние 10 лет. Вот утечет вся база Госуслуг, чтоже, за первую утечку только пожурят? Очень смешно
Поэтому я не могу назвать эту меру ни то что системной, но и даже осмысленной. А самое главное, будущий закон не предлагает пути минимизации утечек как явления.
Что для этого нужно? Во первых, как минимум, введения требований по страхованию компаний от утечек и требований по обязательному полугодовому/годовому техническому аудиту. Это очень не понравится цифровым компаниям, потому что страховки будут дорогими, а в свою инфраструктуру никто пускать не любит, но ответственность за утечку должны нести, и компания, и аудитор.
Во вторых, и это важно, страховые выплаты в случаях утечек должны идти на покрытие судебных издержек и выплаты пользователям.
И, в третьи, и это тоже важно, если и вводить оборотные штрафы, то они также должны идти не в федеральный бюджет, а в специальный фонд по аналогии агентства страхования вкладов для выплат потерпевшим. А оборотные штрафы накладывать надо с учётом холдинговой структуры ИТ бизнеса, иначе у многих компаний сейчас будет ох[р]ененный соблазн вешать свои информационные системы на свои расходные, а не доходные дочерние компании, а потом штрафы платить именно с них.
Не могу припомнить, чтобы за последние 5 лет нашу организацию или кого-то из моего круга общения карательно контролировали. Было множество отсрочек по маркировке, была амнистия по налоговым проверкам, были субсидии по ковиду. Всё максимально ласково и ненавязчиво.
Не усматриваю здесь угроз. Примут - будем делать.
Ваша организация, как мне представляется, работает с клиентами из многих стран. И как там у них с законодательной базой по ПД? Я вот думаю, что гораздо строже.
В вот как раз про будущее. С ковидом и всем остальным и проверкам налоговым да, много поблажек было, но там как раз было для сохранения бизнесов, наверное, а тут прямо как-то жестко, кажется, надеюсь только кажется Ну и смотрю на прошлые попытки просто это внедрять еще.
Тут да, за рубежом нам приходится соблюдать кучу требований, начиная от GDPR и Schrems II, FedRAMP, HIPAA, ISO 27018 и 27017, PCI и другие страшные аббревиатуры, некоторые конечно чрезмерны, но штош (тут это к вашей фразе “Примут - будем делать”). У них это больше проработано, конечно.
Как по мне, в РФ это не оч хорошо развито и слабовато контролируется и быстрое внедрение не приводило ни к чему хорошему. Основное у нас это пока 152-ФЗ с его дополнениями и разъяснениями; есть конечно еще постановление Правительства РФ № 1119 и приказ ФСТЭК № 21, а на ISO пока у нас как-то “забивают”. А когда с РКНом и ФСБшниками общаюсь, они говорят пока достаточно соблюдать 152 и не провоцировать новые утечки, ах, ну и если что есть подозрительное или преступления какие-то то оповещать их. Вот обрабатывать ПДН и быть оператором ПДН это боль, то там же требований куча начиная и отдельных помещений и требований к ним, что только верхушка айсберга, да и хорошо что мы не оператор таких данных
Поправки в 152-ФЗ начнут действовать уже с 1 сентября, пишет “ИБшнику”
Разбираемся в обновлениях:
Операторы ПДн обязаны сообщать в Роскомнадзор о кибератаках и утечках. Информирование будет проходить в два этапа: в течение суток — описание скомпрометированных данных; в течение трех суток — результаты внутренней проверки.
Операторы будут обязаны обеспечивать взаимодействие с ГосСОПКА.
Документ запрещает сбор личных данных — номеров телефона, электронной почты и других — у потребителей без явной необходимости при покупке ими товаров и услуг. Отозвать персональные данные теперь можно без обоснования, просто потому что это ПДн. Также принятые весной поправки в статью 14.8 КоАП, в частности, вводят наказание за отказ продавца заключать и исполнять договор, если потребитель не согласен представить свои персональные данные. Должностным лицам будет грозить штраф в размере от 5 тыс. до 10 тыс. рублей, а юридическим — от 30 тыс. до 50 тыс. рублей
Сокращен перечень случаев, когда оператор вправе не направлять уведомление об обработке персональных данных в РКН. Теперь нужно уведомлять, даже если это только ФИО, в рамках договоров или трудового законодательства.
Всем операторам ПДн рекомендуется провести аудит согласий на обработку данных и привести их в соответствие с новыми требованиями https://sozd.duma.gov.ru/bill/1184356-7
Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных
Основные изменения
Будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные.
Мне интересно ваше видение и поразмышлять с вами над этим потому что это, ну… будущее и оно какое-то угрожающее как мне кажется 
Ну и смотрю на прошлые попытки просто это внедрять еще.