Поделиться
Исследование Moscow Digital School: большинство юристов России одобряют введение оборотных штрафов за утечки персональных данных
Введение оборотных штрафов в России за утечки персональных данных поддерживает половина опрошенных юристов (50,8%). При этом 36,4% из них уверены, что реализовывать эту идею на практике слишком рано, так как сложно будет создать надлежащую инфраструктуру для защиты данных. Об этом говорится в исследовании образовательной платформы Moscow Digital School, входящий в Ultimate Education.
Половина опрошенных юристов (50,8%) поддерживают введение оборотных штрафов в России за утечки персональных данных, они отмечают, что только такие методы могут заставить операторов серьезно отнестись к их защите. Однако 36,4% из них уверены, что реализовывать эту идею на практике слишком рано, так как сложно будет создать надлежащую инфраструктуру для защиты данных, 12,1% — не согласны с ведением оборотных штрафов в России, они отмечают, что нужно не накладывать штрафы, а использовать мягкую силу, например, стимулирование и поощрение операторов за надлежащую защиту персональных данных. Об этом CNews сообщили представители Moscow Digital School.
Говоря о наиболее частой причине утечки персональных данных, 42,4% юристов считают, что это халатность и неосведомленность сотрудников об использовании злоумышленниками методов социальной инженерии, 34,8% — отсутствие в организациях надлежащей системы обработки ПД, не разработанные или плохо разработанные документы в области защиты данных, отсутствие инструкций и порядка действий при утечке данных, 22,7% уверены, что частая причина утечки данных заключается во взломе или получении доступа к средствам защиты информации, а также в использовании устаревшего или нелицензированного ПО, антивирусных программ, ненадежных облачных сервисов.
Более 90% юристов считают, что для обеспечения безопасной обработки персональных данных в компании необходимо использовать новейшие технологии. При этом больше половины из них (62,1%) уверены, что в этом вопросе может помочь технология блокчейн.
Для того чтобы компании снизить риски утечек данных, ей в первую очередь, по мнению 48,5% респондентов, необходимо обратить внимание на внутреннее регулирование процессов обработки и защиты ПД, в том числе на разработку, внедрение и контроль исполнения инструкций, журналов, регламентов, повышение осведомленности персонала, 27,3% — приобретение и регулярное обновление новейших средств защиты информации, в том числе антивирусных программ, программ для хранения данных. 15,2% рекомендуют обратить внимание на обеспечение высокого уровня комплаенса при передаче ПД третьим лицам, особенно в случае трансграничной передачи данных за рубеж. И 9,1% — уверены, что киберстрахование поможет снизить риски.
Более половины (56,6%) респондентов уверены, что компаниям для того чтобы избежать утечек персональных данных, важно проводить регулярный аудит систем обработки и защиты данных, при этом отмечая, что избежать полностью утечку невозможно, но аудит поможет снизить ее риски.
Более половины (57,6%) опрошенных юристов сталкивались в своей практике с утечками персональных данных.
Комментарии экспертного сообщества
Александра Орехович, преподаватель образовательной платформы Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ): «Исследование продемонстрировало актуальность темы, которая на протяжении долгого времени обсуждается в индустрии. По мнению регулятора именно такие меры как введение оборотных штрафов станут стимулом для компаний по усилению мер по обеспечению сохранности данных пользователей. При этом следует понимать, что практика оборотных штрафов в российских правовых реалиях невелика. Уже несколько лет они применяются за нарушение антимонопольного регулирования, и в этой связи расчет оборотного штрафа представляется логичным: как правило, берется выручка от реализации товара, на рынке которого совершено правонарушение. В случае же с утечками регулятор идет по пути наложения оборотного штрафа в сумме выручки компании от реализации ею всей ее деятельности, за соответствующий период. Это означает, что штрафы будут крайне внушительными для компаний. Кроме того, рассматривая перспективу введения оборотных штрафов необходимо предусмотреть механизмы, позволяющие избежать безвиновной ответственности оператора: когда оператором учтены все риски, принятые все меры, но он, например, стал жертвой беспрецедентной кибератаки, случаи которых кратно увеличились в последние два года. Что касается киберстрахования, то очевидно, это перспективное направление, особенно при условии введения оборотных штрафов за утечки. При этом следует понимать, что киберстрахование никоим образом не снизит риск утечек, а лишь снизит риск неприятных последствий этих утечек, причем исключительно для оператора».
Артем Дмитриев, эксперт образовательной платформы Moscow Digital School, управляющий партнер Comply: «Оборотные штрафы могут в определенной мере простимулировать повышение уровня защищенности ПД бизнесом. Но самый ли это эффективный способ? Сегодня важно найти сбалансированный подход. Например, если оборотные штрафы, то понятная и прозрачная методология их применения. И такая методология должна быть разработана и опубликована до начала применения оборотных штрафов. Методология может предполагать скоринг мер защиты, предпринятых бизнесом. Если утечка произошла, но компания предприняла все разумно необходимые меры защиты, смогла доказать их внедрение и поддержание, то оборотный штраф для такой компании кажется неуместным и более того – вредным. Ведь никто не в состоянии полностью исключить риски утечек. Возможны внедрение добровольной сертификации, разработки и публикации лучших практик защиты данных, механизмы добровольной компенсации пострадавшим субъектам ПД и многое другое не вместо оборотных штрафов, но вместе с ними – как комплексное решение. То есть будет эффективнее, если законодательство будут менять не только по модели ужесточения, криминализации, запретов, но и учитывать win-win подход, при котором интересы всех участников будут учтены. Очевидно, что если будут приняты оборотные штрафы без внедрения смягчающих обстоятельств, то это нанесет удар по privacy-совестливому бизнесу и даже дестимулирует его продолжать инвестиции в информационную безопасность. Важно, чтобы обоснование бизнесом privacy-совестливости стало понятным и предсказуемым процессом, был бы определен набор артефактов и механизмов, с помощью которых компания может доказать свою невиновность и снизить размер штрафа».
Дмитрий Шейн, юрист, эксперт образовательной платформы Moscow Digital School: «Но наибольший интерес вызвал ответ на вопрос "Что, по вашему мнению, является наиболее частой причиной утечки персональных данных компаний?". 42,4% юристов считают, что это халатность и неосведомленность сотрудников об использовании злоумышленниками методов социальной инженерии и лишь 22,7%, что это уязвимости в ПО. Это показывает, что компаниям стоит в большей мере сосредоточиться на работе с персоналом и улучшении его цифровой гигиены, повышении грамотности в сфере персональных данных, в то время, как большинство организаций убеждены, что покупка лучшего ПО и систем защиты позволит им свести риски к минимуму. Наше отношение к оборотным штрафам и альтернативные меры. Широко известно, что безопасность – это не точка, а прямая, это не цель, а процесс. Система может быть неуязвима в отдельно взятый момент времени, но уже в следующий она может перестать быть таковой. Поэтому в отношении утечки правильнее применять не "если", а "когда". Не имея возможности абсолютно защититься от утечки, следовательно, вы не имеете и возможности избежать штрафов, а лишь уменьшить вероятность. Также в связи с введением санкций, многие лицензионные программы защиты ушли с рынка, а отечественный сегмент еще не развит достаточно хорошо. Таким образом, мы согласны с 36,4% респондентов, которые считают, что реализовывать идею рано. Сперва нужно создать условия для соблюдения всех требований, а также разработать сами требования, чтобы они были реалистичны и не препятствовали бизнес-процессам в организациях. Такие инновационные идеи как киберстрахование и блокчейн перспективны, но только начинают внедряться».
В исследовании использовались количественные методы, включая опрос студентов и преподавателей образовательной платформы Moscow Digital School. В опросе приняли участие более 400 юристов российских компаний и сотрудников юридических фирм, работающими с персональными данными в организациях.
***
Образовательная платформа Moscow Digital School — дополнительное профессиональное образование в области цифрового и бизнес-права (входит в Ultimate Education). Сегодня Moscow Digital School предлагает более 30 программ обучения по направлениям: ИТ и IP, юрист в сфере банкротства, блокчейн, защита персональных данных, M&A, ВЭД, санкционный комплаенс, финансы, аналитика данных и др.
Короткая ссылка
