Защиту персональных данных надо трансформировать

Как рассказал Олег Москвитин, и.о. директора ИКПРР НИУ ВШЭ, партнер КА «Муранов, Черняков и партнеры», с начала этого года произошло более 60 крупных утечек персональных данных. Исследование же позволило сравнить, насколько то, что происходит с регулированием защиты ПД в Росси отличается от зарубежных практик и сформировать список рекомендаций.

Алим Березгов, юрист КА «Муранов, Черняков и партнеры», напомнил, что в РФ есть стратегия развития информационного общества, рассчитанная до 2030 года. В ней в том числе сказано, что надо более подробно закрепить порядок защиты ПД и обеспечить ПД от несанкционированного доступа и передачи за рубеж. Кроме ряда других законодательных актов в стране действуют и надстрановые документы, которые регулируют работу с ПД.

Таким образом, принципы обработки ПД, которые предусмотрены российскими и международными правовыми актами, во многом аналогичны: они определяются точностью, целью использования, минимизацией данных (они должны получаться в том объеме, в котором необходимы и не больше) и т.д. Не так дано появились поправки в закон о ПД, где более подробно раскрывается порядок передачи ПД за рубеж, взаимодействие с ГосСОПКА и т.д. Поправки также соответствуют закрепленным в GDPR стандартам, т.е. находятся на одном уровне с принятыми в других странах.

Что касается места нашей стране в индексе кибербезопасности. то она занимает 28 место из 160 стран. По словам Олега Москвитина, это неплохая позиция, так как в 20-ке находятся также США и Великобритания.

Беда РФ только в том, что даже очень массовые утечки ПД караются невысокими штрафами. Последний пример – утечка в сервисе доставки еды, штраф за которую составил 60 тыс. рублей. Как заметил Алим Березгов, любая крупная компания может заложить в свой бюджет штрафы такого размера.

Между тем, за рубежом порядок сумм другой. Например, British Airways была оштрафована на 204 млн евро за утечку 420 тыс. записей ПД, а в Сингапуре есть прецедент штрафа медицинского ИТ-провайдера и сети клиник в размере 1 млн местных долларов (примерно $740 тыс).

Во многих странах санкции более жесткие, чем в РФ. 124 млн долларов заплатили отели Mariott, на 50 млн долларов был оштрафован во Франции Google. А ирландская комиссия оштрафовала Twitter за то, что соцсеть недостаточно быстро сообщила об утечке, на 450 тыс. евро.

Такие колоссальные штрафы приводят к тому, что крупные компании за рубежом больше стимулируются к защите ПД и соответственно более внимательно относятся к этому опросу.

По словам Олега Москвитина, отечественное законодательство соответствует мировому и даже в некоторых аспектах более строгое. У нас, к примеру, надо информировать об утечке в течение 1 суток, а в других странах срок больше. Но штрафы при этом, уверен г-н Москвитин, явно не соответствуют тяжести нарушений и поэтому не стимулируют к инвестициям в технологические решения и в специалистов, а также в независимый аудит.

Главный эксперт ИКПРР НИУ ВШЭ Назар Сапаров добавил, что кроме прочего, во многих странах делают ставку на самодисциплину: компании должны создавать у себя специальное подразделение. У нас такая практика не распространена, хотя требования и есть. Чтобы этот инструмент заработал, его надо развивать.

Алим Березгов подчеркнул, что наше законодательство развивается соответственно угрозам в каждом временном периоде. Сейчас Минцифры предлагает законопроект об оборотных штрафах за утечку ПД – их надо инкорпорировать в наше законодательство. Это создаст баланс и соразмерность нарушения и наказания. Если утекло более 10 млн данных, а штраф будет наложен в 60 или даже 300 тыс рублей, то соразмерности нет.

Олег Москвитин пояснил, что речь идет про штраф в 1 % от выручки. Такой подход хорош не только величиной санкции, но и позволяет уравнять крупные и небольшие компании: и для тех, и для других 1 % от оборота – это существенная сумма.

Алим Березгов добавил, что также хорошо бы ввести комплаенс, систему документов и мер внутри организации, которые устанавливают порядок действий с ПД и исключают нарушение законодательства о ПД. Такой подход работает в антимонопольной практике, это живая мера, включающая в том числе обучение персонала. Также было бы неплохо привлекать к уголовной ответственности за утечки ПД – но не за все, а избирательно – в случае злостных нарушений, связанных с ПД несовершеннолетних, например.

Среди других эффективных мер г-н Москвитин назвал распространение страхования ответственности и коллективных исков к виновникам утечек. Такая практика уже есть, но опять-таки эти инструменты должны развиваться. В том числе потому, что коллективные иски позволяют возместить вред пострадавшим людям.