К чему приведет смягчение наказания компаний за утечку персональных данных?
Минцифры РФ не будет наказывать компании за первый факт утечки данных пользователей. В случае повторного нарушения штраф составит меньше одного процента от оборота компании. К чему это приведет и стоит ли беспокоиться клиентам, корреспонденту Mir24.tv рассказали эксперты.
«Безусловно, для компаний такое решение является плюсом, чего не скажешь о клиентах. «Второй шанс» может привести к более халатному отношению к персональным данным и снижению расходов на безопасную инфраструктуру. Клиенты, в свою очередь, оказываются в уязвимом положении, некоторые из них будут требовать дополнительных гарантий со стороны компаний, которые будут работать поверх решения Минцифры. В итоге компании все равно будут вынуждены вкладываться в безопасную инфраструктуру и специалистов по защите данных, чтобы оставаться конкурентоспособными и сохранить репутацию», – говорит IT-эксперт Александр Шуляк.
А вот технолог сервиса бухгалтерии и юридической поддержки «Кнопка» Юлия Данилова отмечает, что новые изменения, наоборот, повысят размер штрафов для компаний, так как сегодня это фиксированная сумма – полмиллиона рублей.
«Для среднего и крупного бизнеса изменение штрафа с фиксированных 500 тысяч рублей на процент от годового оборота компании – это серьезное повышение штрафных санкций. Кроме того, есть опасения, что ставка так и не снизиться до 1%. Плюсов для бизнеса эта инициатива не несет. Компаниям придется пересматривать договоры с подрядчиками, которые выстраивают информационную безопасность или разрабатывают базы данных/элементы инфраструктуры. Нужно будет фиксировать финансовую ответственность подрядчика, а также говорить, что в случае привлечения к административной ответственности заказчика штраф будет оплачиваться подрядчиком», – отмечает эксперт.
Некоторые компании дорабатывают должностные инструкции и пересматривают систему премирования внутри компании, чтобы часть штрафа можно было погасить за счет премий разработчиков и безопасников. При определенных административных правонарушениях уже сейчас можно получить штраф на должностное лицо, а не на компанию, комментирует Юлия Данилова
В свою очередь, технический директор IT-компании HFLabs Никита Назаров считает, что отказ от штрафа при первичной утечке персональных данных не мотивирует бизнес всерьез заниматься безопасностью персональных данных своих клиентов.
«Предупреждение создает иллюзию, что компания может не перестраивать системно работу с данными, а просто принять точечные меры, бороться не с причиной, а с конкретными последствиями. Такой подход неминуемо приведет к новым утечкам данных», – заключил он.