Бизнес предложил не наказывать компании за утечки, если человек сам раскрыл личные данные «неопределённому кругу лиц»

Сейчас законопроект об оборотных штрафах фактически приводит к введению безвиновной ответственности для бизнеса, считают в Ассоциации больших данных.

  • Ассоциация больших данных (АБД; входят «Яндекс», VK, «Сбербанк», «Тинькофф» и другие) направила в аппарат правительства, Минцифры, Минэкономразвития и Минюст отзыв на законопроект об оборотных штрафах за утечки. С ним ознакомились Forbes и «Ъ».
  • В АБД считают, что законопроект должен «стимулировать бизнес инвестировать в развитие инфраструктуры ИБ и защиту персональных данных своих пользователей», но фактически приводит к введению ответственности даже если компания не винована — это не даёт бизнесу стимулов для усиления безопасности.
  • В частности, есть компиляции из данных, самостоятельно раскрытых их субъектами, которые публикуют под видом утечек. Создание компиляций публичных данных не считается нарушением закона, но пострадавшие от «лжеутечек» компании несут судебные расходы. По данным DLBI, сейчас публикуется до десяти таких баз ежемесячно.
  • Ассоциация предлагает включить в законопроект оговорку, по которой положения статьи о наказании за утечку «не распространяются на случаи самостоятельного раскрытия данных неопределённому кругу лиц самим субъектом персональных данных».
  • Среди других предложений — ввести в КоАП ответственность за заведомо ложное сообщение об утечке или фальсификацию доказательств утечек и увеличить срок на проведение внутреннего расследования и уведомления Роскомнадзора до 30 дней. Сейчас компании должны сообщать регулятору об инциденте в течение 24 часов, о результатах расследования — 72 часов.
  • В АБД также считают завышенными санкции за то, что компания вовремя не сообщила об утечке, и обращают внимание на диспропорцию в методике расчётов оборотных штрафов. Чтобы её сгладить, ассоциация предложила учитывать размер выручки на определённом товарном рынке. Например, для бизнеса с выручкой до 10 млрд рублей предельный размер штрафа — 100 млн рублей; для выручки от 10 млрд до 1 трлн — 250 млн; свыше 1 трлн — 500 млн.
  • В Минэкономразвития сказали, что готовы «обсуждать обеспокоенность бизнеса для выработки редакции законопроекта, которая обеспечит и сохранность данных, и возможность для отрасли развиваться». В аппарате правительства и Минюсте сообщили, что письмо пока не поступало.
1010
83 комментария

«Это не мы слили, а вы сами опубликовали!» СмекалОчка!

64

Почуяли, что сливы на халяву кончились.

10

Гойдно, одобряю!

6

Как не смеяться в голос?! (-:
приводит к введению безвиновной ответственности для бизнесаНу точно, без вины виноватые, бедолаги.

31

Да без проблем. Но если будет доказана массовость утечки (например, предъявляются данные 100 человек, все из которых являются клиентами Тинькова) - то тогда платят за каждого найденного и непосредственно потерпевшим.

А еще операторы больших данных должны предъявить инструмент, который позволит любому владельцу ПД выгрузить весь объем информации внутри участником этой ассоциации и подать запрос на удаление. Иначе подписал один раз кучу бумажек в стоматологии - а, оказывается, уже дал согласие. И АБД про это согласие почему-то знает.

Не, так не пойдет, господа воротилы. Хотите защищать свою невиновность - прикладывайте к этому свои усилия. Работайте с ПД на уровне всяких буржуйских корпораций, которые позволяют выгрузку запросить и официально удаление запросить.

18

Так они могут быть в том числе клиентами другого банка. Или стоматологии