Скандалы, связанные с персональными данными (ПД), с завидной регулярностью будоражат широкую общественность. То "всплывет" база данных подписчиков купонных сервисов, то в Интернете можно прочитать эсэмэс тысяч мобильных абонентов и т.д. Все говорит о том, что Закон "О персональных данных" важен обществу. Причем не только госорганы, но и все коммерческие организации должны обеспечивать защиту персональных данных. Однако ответственность юридических лиц за нарушение закона сейчас ограничивается 5-10 тыс. руб. штрафа, взыскать которые к тому же достаточно проблематично. Длительная установленная процедура рассмотрения органами прокуратуры предоставленных материалов и трехмесячное ограничение по привлечению к ответственности виновника в связи со сроком давности правонарушений фактически делают невозможным привлечение операторов ПД к установленным законом административной ответственности.
Кстати, далеко не каждая компания считает нужным позаботиться о наличии собственной системы защиты ПД, что приводит к нарушению прав граждан при обработке их ПД и росту количества утечек информации. По последним данным аналитиков Zecurion, ущерб россиян от краж информации в прошлом году составил около 1 млрд долл., при этом доля персональных данных среди скомпрометированной информации составляет 56%. Однако факты подобных утечек становятся достоянием гласности довольно редко, да и наказание за их допущение близко к символическому.
В соответствии с новыми положениями КоАП компании за нарушения в обработке персональных данных будут обязаны уплатить штраф от 200 до 500 тыс. руб., а за повторные нарушения - до 1 млн руб. При этом срок давности, по которому можно привлекать нарушителей к ответственности, возрастет до 1 года, а неотвратимость кары обеспечит Роскомнадзор, который наделяется полномочиями по возбуждению дел об административных правонарушениях, на что сейчас имеет право лишь прокуратура.
При текущем уровне штрафов для юридических лиц многие компании, особенно внедрившие управление рисками, пренебрегают риском проверки, так как финансовые издержки на минимизацию данного риска существенно превышают последствия самого риска. Кроме того, санкцию приостановки деятельности Роскомнадзор еще ни разу не применял. Однако принятие поправок в КоАП кардинально поменяет ситуацию: несоблюдение организациями ФЗ "О персональных данных" станет экономически невыгодным, так как штрафы станут соразмерны средней стоимости проекта по защите персональных данных.
Первый этап проекта по ПД занимает не менее 1,5-2 месяцев и включает работы по обследованию информационной системы организации, ее классифицированию, проектированию системы в соответствии с классом ПД и подготовку технического задания, включая спецификацию оборудования. В среднем стоимость работ первого этапа при выполнении стандартного проекта составляет 0,5-1 млн рублей, что вполне сопоставимо с уровнем штрафа. Сама реализация проекта занимает не меньше месяца, а стоимость сильно зависит от количества сотрудников в компании и класса персональных данных: чем выше класс, тем строже требования и больше состав средств защиты. Так что, учитывая сроки реализации проектов, компаниям стоит поторопиться с выполнением требования закона в области персональных данных.
Пока стремление соответствовать установленным законом требованиям наблюдается только у крупных компаний. Однако скорее всего в ближайшее время об этом задумаются компании самого разного уровня.
Артем Соколов, эксперт консультативной группы Сколковского института науки и технологий по исследованиям и разработкам в области информационно-коммуникационных технологий.