Персональные данные возьмут в оборот?

Новости об очередной утечке персональных данных клиентов какой-нибудь крупной компании или маркетплейса появляются почти каждую неделю. Само собой, такие случаи влекут за собой неблагоприятные последствия для организации: как репутационные, так и финансовые — в виде штрафов, предусмотренных КоАП РФ.

И в очередном порыве борьбы за добросовестность, справедливость, предотвращение и т.д. (нужное подчеркнуть) в конце июля сего года сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Александр Хинштейн направили в Правительство РФ окончательную версию законопроекта об оборотных штрафах. 

О полном содержимом документа судить сложно, так как в настоящее время он имеется только в распоряжении федеральных СМИ, которые в настоящее время и являются единственным источником информации по данному вопросу. Но главное здесь то, что в случае принятия этого закона наказание за утечку персональных данных для юрлиц будет исчисляться миллионами рублей. Более того, документ предлагает ввести для индивидуальных предпринимателей аналогичную административную ответственность. 

Но и без таких нововведений законодательство, регламентирующее обработку персональных данных, в текущем году претерпело ряд изменений. И в сегодняшней публикации мы постараемся выяснить, что же хочет закон от бизнеса.

Very Important Personal data

Вообще, для начала не помешает вспомнить, что же конкретно относится к персональным данным. Итак, согласно закону №152-ФЗ от 27 июля 2006 года, таковой считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Конкретизируем:
паспортные данные;

• СНИЛС;
• ИНН;
• номер телефона;
• электронная почта и т.д.

Если в компании официально трудоустроен хотя бы один человек, то она автоматически становится оператором персональных данных, так как закон обязывает ее надлежащим образом хранить и обрабатывать эти сведения. К обработке относится сбор, запись, передача (в том числе в госструктуры), накопление и уничтожение персданных. При этом как только организация или ИП начинают сбор данных своих сотрудников, они должны сообщить об этом в Роскомнадзор. Это тоже требование закона.

Однако еще в прошлом году в данной сфере начались существенные изменения. Среди самых значительных — бизнес обязали уведомлять РКН об утечках. В течение суток предприятие должно отчитаться непосредственно об инциденте, его причинах и предпринятых мерах, а в течение 3 дней — о проведенном расследовании и виновных лицах. 

Кроме того, каждая компания обязана подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА) под управлением ФСБ и взаимодействовать с данным ведомством в случае утечки личной информации.

В текущем году нормативный контроль за персональным данными ужесточился еще сильнее. В частности, расширены полномочия РКН, который теперь может ограничивать или даже запрещать передачу личных сведений сотрудников или клиентов за рубеж. 

Еще одним новшеством стала оценка потенциального вреда в случае нарушения правил обработки персданных по специальной форме РКН. Само ведомство выделяет уровня вероятного ущерба. 

Низкий: обработкой личных данных занимается сторонний сотрудник, при этом указанные данные могут размещаться в общедоступных источниках (к таковым относятся справочники, например).

Средний: доступ к данным получает широкий круг лиц (в случае размещения информации на сайте предприятия или его аккаунтах в социальных сетях).

Высокий: речь идет об биометрических данных, данных несовершеннолетних, и информации о здоровье. В этот разряд также попадают сведения, обработкой которых занимается гражданин другой страны. 

Здесь интересно то, что результаты такой оценки компания должна зафиксировать в соответствующем акте, который… не играет никакой роли. Безусловно, его обязательно нужно предъявить РКН, если вдруг ведомство нагрянет с проверкой. Но других функций у документа просто нет, а потому вся эта бумажная волокита выглядит как работа ради работы: акт сделать нужно, для того чтобы его предъявить… в случае чего. Логику можно было бы проследить, будь на этой оценке завязаны штрафы за утечку, но… это не так.

Карающая длань закона

В настоящее время штрафы за утечку персданных установлены ч. 2 ст. 13.11 КоАП РФ и выглядят следующим образом:

• для юрлиц за первичное нарушение от 60 тыс. до 100 тыс. рублей, за повторное до 300 тыс. рублей;
• для должностных лиц за первичное нарушение от 10 тыс. до 20 тыс. рублей, за повторное — до 50 тыс. рублей;
• для физлиц за первичное нарушение от 2 тыс. до 6 тыс. рублей, за повторное — до 12 тыс. рублей.

Как видим, суммы вполне посильные для бизнеса. С одной стороны, достаточно ощутимо, а с другой — не повлечет закрытие закрытие предприятия из-за того, что все деньги ушли на погашение штрафов. Но все меняет упомянутый в начале статьи законопроект, который активно лоббируется в верхах.
Во-первых, он существенно увеличивает пресловутые штрафы. И слово «существенно» в данном случае является преуменьшением. Наказание вырастает даже не в разы, а минимум в пятьдесят раз! Новые методика расчета на данном этапе выглядит так:

• за утечку данных менее 10 тыс. граждан(включительно) штраф для юрлиц определяется в размере от 3 млн до 5 млн рублей;
• за утечку данных от 10 тыс. до 100 тыс. граждан — от 5 млн до 10 млн рублей;
• за утечку данных свыше 100 тыс. граждан — от 10 млн до 15 млн рублей.

И это еще не предел, потому что за повторную утечку персональных данных более 1 тыс. граждан предлагается ввести штрафы в размере от 0,1 до 3% выручки за предыдущий календарный год в диапазоне от 15 млн до 500 млн рублей. Не забываем про предложение уравнять ответственность ИП с аналогичной для юрлиц.

Надежда есть?

Здесь нелишне будет напомнить, что компания относится к микробизнесу, если ее выручка составляет до 120 млн рублей в год, а к малому — при показателе до 800 млн рублей. То есть в случае начисления максимального штрафа многим предприятиям останется только закрыться и остаться в долгах, а «выжившие» еще нескоро оправятся от такого удара по финансам.

Но что говорить о малом бизнесе, если даже крупные ритейлеры и маркетплейсы в панике обивают пороги ведомств. Так, Ассоциация компаний интернет-торговли (АКИТ), в которую входят Wildberries, Ozon, «Яндекс.Маркет» и другие, обратилась в Минфин со своим вариантом корректировок грядущего закона. 

Бизнес воззвал к логике и предложил взимать оборотные штрафы с организаций, которые допустили утечку личных данных более 1 млн человек, и только в том случае, если утечка позволяет идентифицировать гражданина без дополнительной информации. Кроме того, вступление закона в силу предлагается перенести на осень следующего года, чтобы у компаний было время надлежащим образом организовать и подготовить необходимые системы обработки и хранения данных.

Мнение АКИТ учло Минэкономразития РФ. В своем отзыве ведомство говорит, что размеры штрафов могут оказаться несоизмеримыми для бизнеса, а потому не помешает проверить — а смогут ли компании выплатить их и выжить? Более того, Минэк пошел еще дальше скромной АКИТ и посоветовал смягчать наказание для организаций, которые добровольно компенсировали ущерб пострадавшим. Немаловажным является и предложение пересмотреть введение для ИП такой же ответственности, как и для юрлиц. 

На этой неделе свой отзыв на законопроект предоставил также Минюст РФ. Ведомство в целом поддержало инициативу, но отметило необходимость дополнительного обоснования оборотных штрафов и разграничения ответственности в зависимости от причиненного вреда. В остальном Минюст согласился с отзывом Минэкономразвития.

Пока еще сложно сказать, каким в итоге предстанет законопроект и что конкретно ждет бизнес в части обращения с персональными данными, но не может не радовать сам факт того, что в профильных ведомствах нашлось гораздо больше людей, способных считать и оценивать последствия, чем среди сенаторов и депутатов. Время покажет, а сейчас остается надеяться на лучшее и лишний раз убедиться, что в вашей компании персональные данные находятся под надежной защитой.