Оборотные штрафы за утечку ПДн — быть или не быть?

Депутаты планирую принять закон об оборотных штрафах за утечку ПДн до конца 2024 года. При этом срок вступления закона в силу может быть отложен в зависимости от готовности бизнеса к регулированию.

«Принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года», — сказал Андрей Свинцов. Однако есть риск, что компании, работающие с персональными данными, «начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет по итогу на потребителя».

С другой стороны, рассказал Андрей Свинцов, «мы понимаем, что бизнес будет вынужден выделить сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны». До сих пор нет четкого определения, что в таком случае считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании — оператора данных.

«Что касается использования небольших организаций, обеспечивающих обработку персональных данных в пользу больших организаций, это может быть применимо не только для ухода от штрафов, но и для упрощения процедур хранения», — допускает глава комитета по ИБ Ассоциации российских банков Андрей Федорец. Все же окружить контуром безопасности небольшую инфраструктуру существенно проще, чем крупную организацию, объясняет он.

Комментирует Глеб Кащеев, директор омниканальной CDP Sendsay, сооснователь Ассоциации компаний по защите и хранению персональных данных: