Железная логика: почему промышленники против оборотных штрафов за утечки данных
Российские сталевары выступили с критикой поправок, предусматривающих введение оборотных штрафов за утечки данных, следует из письма ассоциации «Русская сталь» правительству, с которым ознакомился Forbes. Расплывчатость формулировок законопроекта и наложение штрафов на компанию, даже если она предприняла все возможное, чтобы избежать утечки, могут привести к произвольному правоприменению и несоразмерной ответственности бизнеса, говорится в письме. Этот законопроект может затронуть весь российский бизнес, а не только те компании, которые в силу своей деятельности обрабатывают большой объем данных своих клиентов, подтверждают эксперты.
«Карательные меры»
Ассоциация предприятий черной металлургии «Русская сталь» (в числе ее участников — «Евраз», «Мечел», «Северсталь», «Магнитогорский металлургический комбинат», «Новолипецкий металлургический комбинат» и др.) 18 августа направила письмо заместителю председателя правительства Дмитрию Григоренко (копия есть в распоряжении Forbes). В документе, подписанном исполнительным директором «Русской стали» Алексеем Сентюриным, ассоциация обращает внимание на «существенные риски, сопряженные с текущей редакцией законопроекта». В пресс-службе правительства на запрос Forbes не ответили, в «Русской стали» отказались от комментариев.
В своем письме «Русская сталь» отмечает, что регулирование должно повышать уровень информационной безопасности, а не налагать «карательные меры» на отечественный бизнес. Неопределенность состава правонарушения в законопроекте, говорится в письме, создает прецедент: даже если компания выполнила все разумные требования по защите данных, в случае взлома его систем третьими лицами она все равно подлежит привлечению к ответственности. Также ассоциация обращает внимание, что в тексте законопроекта используется термин «идентификаторы» наряду с «персональными данными». На практике и так нет единого понимания того, что считать персональными данными, а применение двух этих терминов еще больше запутает как бизнес, так и самих регуляторов.
В «Русской стали» предлагают разграничить случаи, когда оборотный штраф взимается в минимальном или максимальном размере. В международной практике при расчете оборотных штрафов принимаются во внимание обстоятельства инцидента — например, характер нарушения, его серьезность, риски нарушения прав пользователей, а также выручка организации, говорят в ассоциации. По мнению организации, широкий диапазон оборотного штрафа может привести к произвольному правоприменению.
Что предлагает законопроект
Поправки в КоАП, предполагающие наложение оборотных штрафов за утечки персональных данных, были представлены на рассмотрение правительства 26 июля сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Александром Хинштейном. Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные». Согласно этому законопроекту, сумма штрафа за первую утечку предполагается фиксированной, а за повторную уже будет зависеть от оборота компании.