Депутаты планирую принять закон об оборотных штрафах за утечку ПДн до конца 2024 года. При этом срок вступления закона в силу может быть отложен в зависимости от готовности бизнеса к регулированию.
«Принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года», — сказал Андрей Свинцов. Однако есть риск, что компании, работающие с персональными данными, «начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет по итогу на потребителя».
С другой стороны, рассказал Андрей Свинцов, «мы понимаем, что бизнес будет вынужден выделить сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны». До сих пор нет четкого определения, что в таком случае считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании — оператора данных.
«Что касается использования небольших организаций, обеспечивающих обработку персональных данных в пользу больших организаций, это может быть применимо не только для ухода от штрафов, но и для упрощения процедур хранения», — допускает глава комитета по ИБ Ассоциации российских банков Андрей Федорец. Все же окружить контуром безопасности небольшую инфраструктуру существенно проще, чем крупную организацию, объясняет он.
Комментирует Глеб Кащеев, директор омниканальной CDP Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:
«Принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года», — сказал Андрей Свинцов. Однако есть риск, что компании, работающие с персональными данными, «начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет по итогу на потребителя».
С другой стороны, рассказал Андрей Свинцов, «мы понимаем, что бизнес будет вынужден выделить сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны». До сих пор нет четкого определения, что в таком случае считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании — оператора данных.
«Что касается использования небольших организаций, обеспечивающих обработку персональных данных в пользу больших организаций, это может быть применимо не только для ухода от штрафов, но и для упрощения процедур хранения», — допускает глава комитета по ИБ Ассоциации российских банков Андрей Федорец. Все же окружить контуром безопасности небольшую инфраструктуру существенно проще, чем крупную организацию, объясняет он.
Комментирует Глеб Кащеев, директор омниканальной CDP Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных:
С нашей точки зрения законопроект нужный, но неоднозначный. С одной стороны, он ориентирован на крупный бизнес, а с другой под него все-таки попадают все компании, включая СМБ, для которого выделение подразделений, работающих с персональными данными, в отдельные юридические структуры практически невозможно. В итоге получится, что большие компании, утечки из которых наиболее чувствительны и затрагивают огромные массы россиян, свои риски минимизируют, а максимальные штрафы получат те, у которых базы не такие значительные. Следовательно, малому и среднему бизнесу придется уделять огромное внимание защите персональных данных, потому что в ряде случаев это может быть даже методом конкурентной борьбы: если раньше хакеры атаковали сервисы DDOS атаками, то теперь достаточно организовать несколько утечек персональных данных, чтобы два-три оборотных штрафа выбили у небольшого бизнеса почву из-под ног.
Хотелось бы, чтобы закон соотносил риски со штрафами и был бы больше направлен на крупный бизнес, утечки данных у которого затрагивают большое количество людей.