Полевые заметки: Индульгенция за НЕзащиту!

          Обсуждение поправок ко второму-третьему чтению в Государственной Думе законопроекта о наказании за утечки персональных данных подходит к финалу. Видимо, до конца этого года депутаты обновят статью 13.11 КоАП РФ, и в 2025 год мы войдем с новыми штрафами.
        Несколько дней назад один из участников этой дискуссии – Минэкономразвития - предложил любопытную инициативу.  При этом нет смысла сейчас комментировать их главное предложение по кратному снижению предложенных после первого депутатского чтения санкций, - какими они окончательно останутся - решать ГД РФ. Что же касается последнего предложения Минэкономразвития о смягчении ответственности компаний, то его позиция вселяет надежду на здравый подход в решении этого вопроса.
         Смысл инициативы состоит в том, чтобы законодательно закрепить обстоятельства, смягчающие ответственность операторов персональных данных.
        Еще в 2023 году, на первой стадии обсуждения законопроекта об оборотных штрафах при утечках персональных данных, глава Минцифры Максут Шадаев предлагал несколько вариантов мер для бизнеса, чтобы в разы уменьшить размер санкций за утечки персональных данных, применяемых к компаниям. Одной из этих мер было введение некоего понижающего коэффициента при определении размера штрафа, если компания изначально, после инцидента, предложила пострадавшим гражданам соразмерную финансовую компенсацию. Подобную позицию озвучил тогда и Роскомнадзор, заявив, что цель законопроекта – не только увеличение ответственности для операторов, допустивших утечку, но и формирование модели справедливой компенсации гражданам, чьи данные были скомпрометированы. При этом критики такого подхода и сегодня сомневаются в справедливом администрировании подобной компенсации.
      МЭР идет дальше и предлагает своеобразный вариант «прощения» компаниям, если они финансово вложились в кибербезопасность. Министерство предложило любопытную систему расчета минимальных вложений в защиту персональных данных, чтобы компания в случае компьютерных инцидентов могла получить по итогам дальнейших разбирательств индульгенцию.
        Министерство предлагает потратить оператору персональных данных 0,1% от выручки на все технические мероприятия по защите конфиденциальной информации в организации и, как говорится, «спать спокойно».
       Мы предлагаем вам сделать примерный расчет затрат на защиту персональных данных с учетом хотя бы минимального набора технических мер: на лицензионное сертифицированное антивирусное ПО, установленное на все технические средства, на самые экономичные системы контроля защищенности типа Сканера ВС или RedСheck. При этом стоит учитывать только ваши прямые затраты на закупку СЗИ и не рассматривать, как предлагает МЭР, расходы на привлечение организаций-лицензиатов ФСТЭК России, специализирующихся на предоставлении услуг по технической защите информации.
 И стоит ответить себе на вопрос: «А наша компания подпадает под возможную индульгенцию?»