Юрист Мкртчян рассказала, как бороться утечками данных

Кристина Мкртчян, советник практики интеллектуальной собственности юридической компании «ЭБР» и преподаватель образовательной платформы Moscow Digital School, рассказала о целесообразности введения оборотных штрафов за утечки персональных данных в России в настоящее время и рассмотрела возможные альтернативные подходы.

Законодательство, которое регулирует защиту персональных данных в России, находится на этапе активного развития. Одним из ключевых шагов в этом направлении стало принятие Госдумой в первом чтении законопроекта, который ужесточает ответственность за утечки персональных данных.

Ожидается, что до конца 2024 года данный законопроект будет утвержден.

Однако с момента его первого чтения представители бизнеса и профильные ассоциации выражали опасения по поводу размеров штрафов, предусмотренных документом. В ответ на эти опасения в октябре 2024 года Минэкономразвития подготовило предложения, которые включают значительное снижение размеров штрафов и введение смягчающих обстоятельств для компаний.

Вопрос о целесообразности введения оборотных штрафов за утечки персональных данных остается открытым. На первый взгляд жесткие меры могут показаться необходимыми для защиты прав граждан и повышения ответственности компаний. Однако важно учитывать, что чрезмерные штрафы могут стать бременем для бизнеса, особенно для малых и средних предприятий, что в конечном итоге может негативно сказаться на экономике в целом.

Проблема утечек персональных данных становится все более актуальной. Согласно аналитическим данным компании F.A.C.C.T., за первые три квартала 2024 года количество инцидентов увеличилось на 37% по сравнению с аналогичным периодом 2023 года, превысив 200 крупных случаев. Исследование компании «Гард» показывает, что россияне становятся менее терпимыми к утечкам данных. Если год назад 51% пострадавших смирялся с ситуацией, то в этом году доля тех, кто не предпринял никаких действий после утечки, снизилась до 37%. Граждане все чаще обращаются с жалобами как к компаниям, допустившим утечки, так и в надзорные органы и суды.

Тем не менее история знает примеры, когда крупные компании воспринимали стандартные штрафы как «стоимость ведения бизнеса». Например, Intel всегда платила штрафы за недобросовестную конкуренцию так же регулярно, как мы оплачиваем коммунальные услуги. Однако, когда Еврокомиссия наложила на компанию штраф в размере 1,06 миллиарда евро (4,15% от годового оборота), в корпоративных кабинетах внезапно воцарилась тишина.

Бороться с утечками надо. Но как?

Современный бизнес живет в эпоху, когда репутация стоит дороже денег. Само собой факт утечки данных значительно влияет на лояльность к бренду: в 2024 году 69% опрошенных заявили, что больше не будут пользоваться услугами компании, допустившей утечку персональных данных, согласно данным компании «Гард». При этом наложение крупного оборотного штрафа (0,1–3% выручки за год) может запустить эффект домино: падение котировок акций, отток инвесторов, снижение кредитных рейтингов. Особенно чувствительны к таким «ударам» публичные компании, где любые регуляторные проблемы немедленно отражаются на рыночной капитализации. Восстановление доверия инвесторов и партнеров после серьезных нарушений требует длительной работы и существенных ресурсов.

Как же найти оптимальное решение в этой ситуации? Возможным выходом может стать внедрение более умной системы калькуляции штрафов. К таким мерам могут относиться:

1. «Умные» штрафы, учитывающие не только оборот, но и маржинальность бизнеса. Например, для розничной торговли с маржинальностью 5-7% штраф может составлять меньший процент от оборота, чем для ИТ-компаний с маржинальностью 30-40%. Система может учитывать сезонность бизнеса и экономический цикл, снижая нагрузку в кризисные периоды.
2. Система скидок за добровольное устранение нарушений (как в системе штрафов ГИБДД). По аналогии со скидкой 50% при быстрой оплате штрафов ГИБДД, компании могут получать существенное снижение штрафа (например, на 40-60%) при немедленном признании нарушения и его устранении в течение определенного срока. Дополнительные скидки могут предоставляться за внедрение превентивных мер, исключающих повторение нарушения.
3. Возможность «отработки» части штрафа через социально полезные проекты. Часть штрафа может быть заменена на целевые инвестиции в социально значимые проекты в регионе присутствия компании. Компания может получить право направить определенную долю штрафа на программы обучения сотрудников или улучшение корпоративных практик compliance.
4. Превентивный аудит вместо карательных мер. Регулятор может предоставлять компаниям возможность добровольного аудита бизнес-процессов с временным иммунитетом от штрафов. Разработка отраслевых чек-листов для самопроверки и регулярных консультаций с надзорными органами поможет предупреждать нарушения.

Таким образом, для эффективной борьбы с утечками персональных данных необходимо найти баланс между жесткими мерами ответственности и разумными подходами, которые помогут сохранить бизнес и защитить права граждан.