Появилась новость о том, что теперь за утечку ПДн организации могут получать оборотные штрафы: от 5 до 500 млн рублей, или до 3% от годового оборота. И самый интересный вопрос: при принятии решения регулятор будет руководствоваться принципом "что больше", или "что меньше"?
Например, построил человек небольшой домик на 4 отдельных входа, и решил сдавать его, как гостевой, чтобы не простаивал зря. Зарегистрировался, как ИП (кстати, к ним это применимо?). Место живописное, но не особо раскрученное, поэтому установлена цена 5 000р за ночь за комнату, 20 000р за весь дом. Предпринимателю настолько сопутствовала удача, что каким-то чудом все секции были заняты каждую ночь в году.
Сколько заработает за 1 год такой бизнес в идеальном случае:
20 000р х 365 = 7 300 000р
Чтобы из этого получилась прибыль - нужно отнять разнообразные расходы.
Совсем не обрабатывать персональные данные такая организация не может, ибо обязана регистрировать посетителей и предоставлять информацию соответствующим регуляторам. Если работает в белую, конечно. И вдруг происходит утечка, о которой становится известно, и бизнесмену выставляется ай-яй-яй.
name='more'>Если штраф будет устанавливаться в размере 3%, то он составит:
7 300 000р х 0,03 = 219 000р
Если 5 млн - то и считать ничего не нужно.
У бизнесмена возникает резонный вопрос: сколько утечек в год переживет бизнес?
В случае с 219 000 понятно, что эта цифра такой организации хоть и чувствительна, но не смертельна. 1-2 утечки с таким штрафом перетерпеть можно.
Если штраф будет 5 млн, то достаточно одной утечки в год, чтобы бизнес этого масштаба потерял смысл.
Дальше возникает снежный ком вопросов. О факте утечки необходимо извещать РКН. Будет ли засчитываться факт оповещения за 24 часа и предоставление результатов расследования за 72 часа? Если будет, то результатом будет амнистия, или смягчение наказания? Если смягчения, то насколько? Будет ли разница в размере штрафа за первый и последующие случаи? Будет ли РКН проводить проверки и предоставлять замечания? Будет ли отслеживаться их динамика? И многое другое.
Теперь рассудим, что может делать бизнесмен такого калибра, чтобы избежать утечек ПДн и штрафов.
1. Перепоручить обработку ПДн в автоматизированном виде внешней компании. Вроде, логично, но пока непонятно, будет ли предусмотрена возможность перекладывать финансовую и административную ответственность на контрагента.
2. Арендовать у контрагента ресурсы для обработки ПДн в аттестованном 152-ФЗ сегменте.
3. Обрабатывать ПДн на собственных мощностях (ПК, ноутбук), которые защищать от утечек, как зеницу ока. В первую очередь от нерадивых сотрудников.
4. Обрабатывать ПДн в журнале, который хранить в сейфе.
5. Уйти в тень, не обрабатывая ПДн.
6. Застраховать риск утечки ПДн.
Если идти по пути наименьшего сопротивления, то наиболее логичным кажется вариант 4. Он наименее затратный для такого масштаба. Следующим по доступности идет вариант 3. Думаю, он наиболее распространен (или даже вариант 5).
Наиболее современным, цифровым и молодежным вариантом видится вариант 1, но насколько он будет выгоден - пока непонятно. Возможно, это направление вообще пойдет по пути 6, создав обязательное страхование рисков утечки ПДн. Но там у нас вообще непаханое поле.
Будем следить за развитием ситуации, и надеяться, что подобные нормативные акты повысят общий уровень кибербезопасности в организациях, не загоняя в убыток и не стимулируя уход в тень.
