Появилась новость о том, что теперь за утечку ПДн организации могут получать оборотные штрафы: от 5 до 500 млн рублей, или до 3% от годового оборота. И самый интересный вопрос: при принятии решения регулятор будет руководствоваться принципом "что больше", или "что меньше"?
Например, построил человек небольшой домик на 4 отдельных входа, и решил сдавать его, как гостевой, чтобы не простаивал зря. Зарегистрировался, как ИП (кстати, к ним это применимо?). Место живописное, но не особо раскрученное, поэтому установлена цена 5 000р за ночь за комнату, 20 000р за весь дом. Предпринимателю настолько сопутствовала удача, что каким-то чудом все секции были заняты каждую ночь в году.
Сколько заработает за 1 год такой бизнес в идеальном случае:
20 000р х 365 = 7 300 000р
Чтобы из этого получилась прибыль - нужно отнять разнообразные расходы.
Совсем не обрабатывать персональные данные такая организация не может, ибо обязана регистрировать посетителей и предоставлять информацию соответствующим регуляторам. Если работает в белую, конечно. И вдруг происходит утечка, о которой становится известно, и бизнесмену выставляется ай-яй-яй.
Если штраф будет устанавливаться в размере 3%, то он составит:
7 300 000р х 0,03 = 219 000р
Если 5 млн - то и считать ничего не нужно.
У бизнесмена возникает резонный вопрос: сколько утечек в год переживет бизнес?
В случае с 219 000 понятно, что эта цифра такой организации хоть и чувствительна, но не смертельна. 1-2 утечки с таким штрафом перетерпеть можно.
Если штраф будет 5 млн, то достаточно одной утечки в год, чтобы бизнес этого масштаба потерял смысл.
Дальше возникает снежный ком вопросов. О факте утечки необходимо извещать РКН. Будет ли засчитываться факт оповещения за 24 часа и предоставление результатов расследования за 72 часа? Если будет, то результатом будет амнистия, или смягчение наказания? Если смягчения, то насколько? Будет ли разница в размере штрафа за первый и последующие случаи? Будет ли РКН проводить проверки и предоставлять замечания? Будет ли отслеживаться их динамика? И многое другое.
Теперь рассудим, что может делать бизнесмен такого калибра, чтобы избежать утечек ПДн и штрафов.
1. Перепоручить обработку ПДн в автоматизированном виде внешней компании. Вроде, логично, но пока непонятно, будет ли предусмотрена возможность перекладывать финансовую и административную ответственность на контрагента.
2. Арендовать у контрагента ресурсы для обработки ПДн в аттестованном 152-ФЗ сегменте.
3. Обрабатывать ПДн на собственных мощностях (ПК, ноутбук), которые защищать от утечек, как зеницу ока. В первую очередь от нерадивых сотрудников.
4. Обрабатывать ПДн в журнале, который хранить в сейфе.
5. Уйти в тень, не обрабатывая ПДн.
6. Застраховать риск утечки ПДн.
Если идти по пути наименьшего сопротивления, то наиболее логичным кажется вариант 4. Он наименее затратный для такого масштаба, да еще и использует на 100% отечественные технологии.
Следующим по доступности идет вариант 3. Думаю, он наиболее распространен (или даже вариант 5).
Наиболее современным, цифровым и молодежным вариантом видится вариант 1, но насколько он будет выгоден - пока непонятно.
Возможно, это направление вообще пойдет по пути 6, создав обязательное страхование рисков утечки ПДн. Но там у нас вообще непаханое поле.
Будем следить за развитием ситуации, и надеяться, что подобные нормативные акты повысят общий уровень кибербезопасности в организациях, не загоняя в убыток и не стимулируя уход в тень.
Комментариев нет:
Отправить комментарий