Чувствительные штрафы грозят бизнесу за утечку персональных данных

В Беларуси планируется повысить степень ответственности субъектов хозяйствования за нарушение законодательства о персональных данных. Нынешний уровень штрафов представляется регулятору низким.

Цифры настораживают

Российская и белорусская статистики доказывают, что «охота» злоумышленников за персональными данными ведется постоянно и даже активизировалась в 2024 г. Масштабы несанкционированного распространения персданных в РФ и в РБ впечатляют.

Так, если в I квартале 2023 г. в России в свободный доступ утекло 11 млн уникальных номеров телефонов, то в I квартале 2024 г. уже 121 млн. Также с 23 до 38 млн увеличилось количество «слитых» в сеть уникальных адресов электронной почты.

Российская статистика 2023–2024 гг. свидетельствует: масштабные утечки персональных данных становятся следствием низкого уровня защищенности информационных систем медицинских и околофинансовых (аутсорсинговых) ­ор­­ганизаций.

Как показывает практика правоохранительных органов, получив доступ к массивам персональных данных, злоумышленники стараются потом мошенническим образом заработать на этом. Так, некоторые из них хотят, получив доступ к перс­данным, оформить кредиты и займы на физлиц. Данная информация используется также для кражи средств с платежных карт, взлома личных кабинетов и (самое простое) для спама. Учитывая многочисленные негативные последствия, в РФ уже рассматривается вопрос об усилении ответственности и введении даже оборотных штрафов за утечку персональных данных.

В Беларуси объемы слитых перс­данных, которые могут попасть в руки злоумышленников, также впечатляют.

В 2024 г. Национальный центр защиты персональных данных получил 6 уведомлений о нарушениях системы защиты персональных данных, утечки коснулись около 2 млн записей с данными белорусских граждан.

По информации центра, на торговлю и остальную сферу услуг приходится более 95% от общего объема персональных данных, которые незаконным образом были распространены в Сети.

Для того чтобы информация не утекала в Сеть, НЦЗПД проводит контрольные мероприятия. По их итогам уже в текущем году около 10 млн единиц информации, незаконно обрабатываемых в организациях, были превентивно удалены.

Неадекватная ответственность

По данным центра, основные причины утечек персданных в Беларуси – нереализованные меры по обеспечению их защиты, а также незащищенность внешнего контура информационных систем организаций.

«Мы видим, что организации не обновляют базовое программное обеспечение либо делают это несвоевременно», – сообщил директор Национального центра защиты персональных данных Андрей Гаев, выступая на тематическом заседании, состоявшемся в рамках международного форума ТИБО.

Директор НЦЗПД отметил, что в 2023 г. абсолютное большинство крупных утечек было связано с уязвимостью систем «Битрикс», которую пользователи либо своевременно не обновляли, либо вообще не обновляли, поскольку из-за обновлений требовалось переделывать самописные модули.

В НЦЗПД убеждены, что бизнес должен принять организационные, правовые, технические меры для того, чтобы минимизировать риски несанкционированного распространения и использования данных граждан.

Тем субъектам хозяйствования, которые не будут принимать необходимые меры по защите названной информации, грозят чувствительные штрафы. Нынешний уровень штрафов регулятор считает неадекватным и вносит предложения об увеличении административной ответственности.

Максимальный штраф для юрлица за несоблюдение мер обеспечения защиты персональных данных физических лиц сейчас составляет 50 базовых величин (БВ).

«Ответственность для юридического лица в виде 50 БВ не решает сегодня той предупредительной функции, которую, прежде всего, призвана решать», – подчеркнул А. Гаев и тем самым дал понять, что штрафы за нарушение персданных нужно увеличивать.

Наряду с повышением размера штрафов НЦЗПД инициирует наделение себя полномочиями органа, ведущего административный процесс. Сейчас, чтобы привлечь субъекта хозяйствования к ответственности за несоблюдение законодательства о персональных данных, центр должен направлять материалы в правоохранительные органы.

Кроме того, планируется законодательно урегулировать вопрос приостановки доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением требований Закона от 07.05.2021 № 99-З «О защите персональных данных».

Также подготовлен проект указа, который установит требования для локализации обработки особо чувствительной информации. «Это тоже очень важный вопрос, который мы будем решать», – отметил А. Гаев.

В своей презентации директор НЦЗПД обратил внимание, что наиболее часто государства локализируют персданные, обрабатываемые в госсекторе, в т.ч. налоговые данные, а также данные об электронных транзакциях, платежах, телекоммуникационные данные, медицинские данные. В России требование локализации персональных данных существует давно и означает, что предприятия, собирающие чувствительные персональные данные россиян, должны хранить свои базы данных на территории РФ.

С учетом вышеперечисленных законодательных инициатив очевидно, что требования и ответственность за хранение, обработку и распространение персональных данных в Беларуси будут расти. Напомним: для тех, кто их не соблюдает, в РФ преду­смотрены штрафы, измеряемые в тысячах долларов. А за нарушение требований о локализации персданных штраф в РФ измеряется в десятках и сотнях тысяч долларов.

Риторика белорусского регулятора недвусмысленно указывает на то, что штрафы за нарушения в сфере персональных данных могут и в Беларуси стать весьма чувствительными.