Бизнес предложил не наказывать компании за утечки, если человек сам раскрыл личные данные «неопределённому кругу лиц» Статьи редакции
Сейчас законопроект об оборотных штрафах фактически приводит к введению безвиновной ответственности для бизнеса, считают в Ассоциации больших данных.
- Ассоциация больших данных (АБД; входят «Яндекс», VK, «Сбербанк», «Тинькофф» и другие) направила в аппарат правительства, Минцифры, Минэкономразвития и Минюст отзыв на законопроект об оборотных штрафах за утечки. С ним ознакомились Forbes и «Ъ».
- В АБД считают, что законопроект должен «стимулировать бизнес инвестировать в развитие инфраструктуры ИБ и защиту персональных данных своих пользователей», но фактически приводит к введению ответственности даже если компания не винована — это не даёт бизнесу стимулов для усиления безопасности.
- В частности, есть компиляции из данных, самостоятельно раскрытых их субъектами, которые публикуют под видом утечек. Создание компиляций публичных данных не считается нарушением закона, но пострадавшие от «лжеутечек» компании несут судебные расходы. По данным DLBI, сейчас публикуется до десяти таких баз ежемесячно.
- Ассоциация предлагает включить в законопроект оговорку, по которой положения статьи о наказании за утечку «не распространяются на случаи самостоятельного раскрытия данных неопределённому кругу лиц самим субъектом персональных данных».
- Среди других предложений — ввести в КоАП ответственность за заведомо ложное сообщение об утечке или фальсификацию доказательств утечек и увеличить срок на проведение внутреннего расследования и уведомления Роскомнадзора до 30 дней. Сейчас компании должны сообщать регулятору об инциденте в течение 24 часов, о результатах расследования — 72 часов.
- В АБД также считают завышенными санкции за то, что компания вовремя не сообщила об утечке, и обращают внимание на диспропорцию в методике расчётов оборотных штрафов. Чтобы её сгладить, ассоциация предложила учитывать размер выручки на определённом товарном рынке. Например, для бизнеса с выручкой до 10 млрд рублей предельный размер штрафа — 100 млн рублей; для выручки от 10 млрд до 1 трлн — 250 млн; свыше 1 трлн — 500 млн.
- В Минэкономразвития сказали, что готовы «обсуждать обеспокоенность бизнеса для выработки редакции законопроекта, которая обеспечит и сохранность данных, и возможность для отрасли развиваться». В аппарате правительства и Минюсте сообщили, что письмо пока не поступало.
19K
показов
5K
открытий
Да без проблем. Но если будет доказана массовость утечки (например, предъявляются данные 100 человек, все из которых являются клиентами Тинькова) - то тогда платят за каждого найденного и непосредственно потерпевшим.
А еще операторы больших данных должны предъявить инструмент, который позволит любому владельцу ПД выгрузить весь объем информации внутри участником этой ассоциации и подать запрос на удаление. Иначе подписал один раз кучу бумажек в стоматологии - а, оказывается, уже дал согласие. И АБД про это согласие почему-то знает.
Не, так не пойдет, господа воротилы. Хотите защищать свою невиновность - прикладывайте к этому свои усилия. Работайте с ПД на уровне всяких буржуйских корпораций, которые позволяют выгрузку запросить и официально удаление запросить.
Так они могут быть в том числе клиентами другого банка. Или стоматологии
Ну, по выборке из 100 человек уже будет явно видно, ходили ли они в одну стоматологию или нет. А если клиенты двух банков - так еще лучше. Они же ассоциация. Небось, внутри еще и данными обмениваются. Картель практически. Вот и будет принцип разделения расходов на всех участников. Удобно же! И поводов делать ассоциации меньше.
Шаблоны запроса персданных у всех разные, так что найти хвост дело десятка-сотни сопоставлений строк. Другое дело, есть ли вообще контроль за персданными среди этих ассоциантов АБД или там привычное русское авось и куча запрошенного (абы было, вдруг кому загоним потом) и не отсортированного говна
Нейросервисы помогут найти