Госдума приняла в первом чтении законопроекты, ужесточающие санкции за утечку персональных данных, — они предусматривают огромные штрафы и уголовную ответственность. Но если следовать букве поправок, оказаться виноватым может самый широкий круг сотрудников. А значит, теперь компании наверняка постараются снять с себя любые обязанности по обработке данных. В результате изменения произведут эффект, обратный задуманному, — утечек и сливов может стать больше.
Проблема нарушений в области обработки и хранения информации действительно стоит остро. По данным МВД России, за 2022 год утекло более 197 млн записей персональных данных и платежной информации. Ущерб превысил 8 млрд рублей. В пояснительной записке к законопроекту указано, что изменения направлены на борьбу с хакерами, но, по сути, на них они как раз особо и не отразятся.
Такие меры могут повлиять именно на компании, которым будут грозить большие штрафы, — до 800 тыс. рублей. И коснутся они не только руководителей, а любых сотрудников, работающих с персональными данными: программистов, бухгалтеров, клиентские службы и других участников рабочего процесса — всех тех, кто во внутренних приказах будет указан ответственным за возможные утечки.
Помимо штрафов депутаты предложили ввести и уголовную ответственность, которая тоже будет грозить отнюдь не хакерам, а сотрудникам бизнеса. Так, простой менеджер вполне может попасть под следствие, если отправит данные клиента по электронной почте без доверенности нотариуса, но по поручению руководства. Поэтому такие изменения в законодательстве могут спровоцировать рост коррупции в IT-секторе и расширить область теневого рынка. Бизнесу станет выгоднее привлекать к обработке персональных данных серые структуры, чтобы снять с себя ответственность. Станет больше и запрос на уход от проверок, в том числе через коррупционные схемы.
В законопроектах появляются и новые понятия. Например, определение «идентификатор» никак не обозначено, из-за чего могут возникать коллизии при выявлении нарушений и определении их характера. Сейчас это совокупность символов, которую можно связать с конкретным человеком. За их неправомерную передачу, а ими может быть и адрес электронной почты, налагаются огромные штрафы.
Отдельным важным пунктом необходимо выделить отсутствие обязательной экспертизы утечки, которая должна облегчить суду оценку ситуации. Например, если злоумышленник изменит даты взлома, понять, кто виноват будет крайне сложно. Сейчас существует очень большое сообщество в даркнете, проводящее разные поддельные операции, в том числе замену шифров и защитных кодов для определенных систем. В ряде случаев это могут быть подставы или DDoS-атаки, но об этом сотрудник может и не знать. Для таких случаев нужна экспертная комиссия, которая сможет оценить все обстоятельства и при необходимости защитить тех, кто сделал всё возможное для защиты данных.
Чтобы предотвратить негативные последствия введения новых норм, при Минцифры необходимо создать экспертное сообщество, которое будет заниматься оценкой подобных инцидентов. В него должны входить лица, компетентные в вопросах цифровизации — и с юридической, и с информационной, и с финансовой точки зрения. Это позволило бы провести экспертизу конкретной утечки комплексно, с разных сторон, и компании могли бы обращаться туда для защиты.
В этом сообществе должны работать эксперты в области правовой защиты, способные определить, что является обстоятельством непреодолимой силы или форс-мажором, например, сбой в системе навигации или работе сервера, за который отвечает другое лицо.
И самое главное — необходимо ранжировать ответственность в зависимости от субъекта предпринимательства. Если речь идет о малом или микробизнесе, то размеры штрафа должны быть соответствующими, иначе они будут для них непосильными. Для крупных игроков возможны значительные штрафы, но только при соблюдении экспертного подхода к оценке каждого конкретного случая.
Автор — основатель и СЕО консалтинговой группы vvCube
Позиция редакции может не совпадать с мнением автора
