Комментарий
11 Ноября 2014 18:01

Повышение штрафов за утечку информации переломит негативную ситуацию

Илья Сачков IT-экспертИлья Сачков

Илья Сачков
IT-экспертИлья Сачков

Минкомсвязи предлагает повысить штрафы за нарушение правил обработки персональных данных в 30 раз — с 10 тысяч рублей до 300 тысяч рублей. При этом Роскомнадзор получит право самостоятельно, без привлечения прокуратуры, составлять акты по нарушениям, связанным с персональными данными россиян.

В новой редакции ст. 13.11 КоАП будет состоять из восьми пунктов. За «обычное» нарушение правил максимальный штраф для юрлиц увеличат до 50 тысяч рублей. А вот обработка «данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством», будет грозить юрлицам штрафом до 300 тысяч рублей.

Подробнее — в материале «Штраф за нарушение обработки персональных данных предложили увеличить». 

Генеральный директор Group-IB Илья Сачков в интервью «Актуальным комментариям» рассказал об утечках и публикации персональной информации в интернете и лазейках в законодательстве.

«Нарушения операторами персональных данных (ПДн) установленного законом порядка сбора, хранения и использования информации о гражданах все чаще приводят к инцидентам незаконного распространения персональной информации.

На сегодняшний день в интернете не составляет труда найти предложения по продаже различного рода баз данных, например, финансово-кредитных учреждений, телекоммуникационных компаний, различных государственных органов, содержащих ПДн граждан Российской Федерации.

Подобные инциденты могут представлять собой серьезную угрозу как для самих граждан, так и для государства в целом. Это происходит из-за того, что существуют определенные пробелы в законодательстве и правоприменительной практике. Так, размер ответственности за подобного рода правонарушения, установленный в статье 13.11 КоАП, не превышает 10 тысяч рублей (для юридических лиц), что, на мой взгляд, не является существенным мотивирующим фактором для организаций-нарушителей воздерживаться от подобных нарушений.

Более того, согласно закону, наказуемым является именно сам факт нарушения порядка работы с ПДн. Это приводит к тому, что зачастую организациям-операторам ПДн выгоднее вообще не сообщать о факте незаконного/неконтролируемого распространения ПДн, чтобы скрыть свои нарушения, приведшие к такому распространению. При этом факт подобного умышленного сокрытия не является наказуемым и не влечет никаких последствий.

При этом санкции на нарушителей накладываются неоперативно — из-за того, что возбуждение дел об административных правонарушениях по статье 13.11 КоАП возложено на прокуроров, хотя уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор.

На практике указанные пробелы в законодательстве приводят к тому, что только за первое полугодие 2014 года и только по официальным данным в России зафиксировано более 490 случаев утраты персональных данных. Причем в 53% случаев — это умышленные и корыстные действия конкретных должностных лиц.

В связи с этим предлагаемые поправки станут, как мне кажется, естественным и ожидаемым ответом государства на данные угрозы (или, по крайней мере, на часть указанных угроз). Увеличение размера ответственности для юридических лиц и передача функционала по возбуждению административного производства по указанным составам в Роскомнадзор способно несколько переломить негативную ситуацию.

Кроме того, немаловажным элементом борьбы с подобными преступлениями может стать внедрение практики независимого выяснения причин подобных инцидентов, а также установления виновных в этом лиц (как организации-оператора ПДн, допустившего факт незаконного распространения, так и конкретного сотрудника этой организации, либо иного физического лица, совершившего умышленные противоправные действия).

Для успешного решения этой задачи необходимо выработать на основе имеющейся правовой базы и актуальных практик механизм эффективного взаимодействия представителей отрасли с государством (в лице Роскомнадзора). Одним из вариантов решения подобной задачи может стать практика развития государственно-частного партнерства, предметом которого будут совместные усилия по установлению причин возникновения выявленных нарушений обработки, хранения, использования или распространения ПДн и путей минимизации ущерба, вызванного подобными инцидентами».



  • вконтакте
  • facebook
  • твиттер

© 2008-2016 НО - Фонд «Центр политической конъюнктуры»
Сетевое издание «Актуальные комментарии». Свидетельство о регистрации средства массовой информации Эл № ФС77-58941 от 5 августа 2014 года. Издается с сентября 2008 года. Информация об использовании материалов доступна в разделе "Об издании".