Выбрать язык


Выбрать язык | Show only


Русский | English


понедельник, 26 декабря 2022 г.

Мелкий бизнес и оборотные штрафы за утечку ПДн

Появилась новость о том, что теперь за утечку ПДн организации могут получать оборотные штрафы: от 5 до 500 млн рублей, или до 3% от годового оборота. И самый интересный вопрос: при принятии решения регулятор будет руководствоваться принципом "что больше", или "что меньше"?

Например, построил человек небольшой домик на 4 отдельных входа, и решил сдавать его, как гостевой, чтобы не простаивал зря. Зарегистрировался, как ИП (кстати, к ним это применимо?). Место живописное, но не особо раскрученное, поэтому установлена цена 5 000р за ночь за комнату, 20 000р за весь дом. Предпринимателю настолько сопутствовала удача, что каким-то чудом все секции были заняты каждую ночь в году.

Сколько заработает за 1 год такой бизнес в идеальном случае:

20 000р х 365 = 7 300 000р

Чтобы из этого получилась прибыль - нужно отнять разнообразные расходы.

Совсем не обрабатывать персональные данные такая организация не может, ибо обязана регистрировать посетителей и предоставлять информацию соответствующим регуляторам. Если работает в белую, конечно. И вдруг происходит утечка, о которой становится известно, и бизнесмену выставляется ай-яй-яй.

Если штраф будет устанавливаться в размере 3%, то он составит:

7 300 000р х 0,03 = 219 000р

Если 5 млн - то и считать ничего не нужно.

У бизнесмена возникает резонный вопрос: сколько утечек в год переживет бизнес?

В случае с 219 000 понятно, что эта цифра такой организации хоть и чувствительна, но не смертельна. 1-2 утечки с таким штрафом перетерпеть можно.

Если штраф будет 5 млн, то достаточно одной утечки в год, чтобы бизнес этого масштаба потерял смысл.

Дальше возникает снежный ком вопросов. О факте утечки необходимо извещать РКН. Будет ли засчитываться факт оповещения за 24 часа и предоставление результатов расследования за 72 часа? Если будет, то результатом будет амнистия, или смягчение наказания? Если смягчения, то насколько? Будет ли разница в размере штрафа за первый и последующие случаи? Будет ли РКН проводить проверки и предоставлять замечания? Будет ли отслеживаться их динамика? И многое другое.


Теперь рассудим, что может делать бизнесмен такого калибра, чтобы избежать утечек ПДн и штрафов.

1. Перепоручить обработку ПДн в автоматизированном виде внешней компании. Вроде, логично, но пока непонятно, будет ли предусмотрена возможность перекладывать финансовую и административную ответственность на контрагента. 

2. Арендовать у контрагента ресурсы для обработки ПДн в аттестованном 152-ФЗ сегменте. 

3. Обрабатывать ПДн на собственных мощностях (ПК, ноутбук), которые защищать от утечек, как зеницу ока. В первую очередь от нерадивых сотрудников. 

4. Обрабатывать ПДн в журнале, который хранить в сейфе.

5. Уйти в тень, не обрабатывая ПДн.

6. Застраховать риск утечки ПДн.

Если идти по пути наименьшего сопротивления, то наиболее логичным кажется вариант 4. Он наименее затратный для такого масштаба, да еще и использует на 100% отечественные технологии. 

Следующим по доступности идет вариант 3. Думаю, он наиболее распространен (или даже вариант 5). 

Наиболее современным, цифровым и молодежным вариантом видится вариант 1, но насколько он будет выгоден - пока непонятно. 

Возможно, это направление вообще пойдет по пути 6, создав обязательное страхование рисков утечки ПДн. Но там у нас вообще непаханое поле.

Будем следить за развитием ситуации, и надеяться, что подобные нормативные акты повысят общий уровень кибербезопасности в организациях, не загоняя в убыток и не стимулируя уход в тень.


Комментариев нет:

Отправить комментарий