Штраф за утечку? Нет, если докажешь свою privacy-совестливость.
Вновь обсуждают законопроект об оборотных штрафах. А мы как раз успели свериться с трендами административной и судебной практики по делам об утечках за очередные 12 месяцев. Вот к какому выводу мы пришли: только 5 из 40 компаний удалось избежать штрафа за утечку ПД. Мало? Удивительно, что кое-кому удалось!
Как такое вообще возможно!? Не будем скромничать – 2 таких процесса в этом году вели мы – и компании штрафы не получили. А еще 2 таких же успешных кейса для нас было в прошлом году. Итого, мы знаем противоядие против штрафов. Забегая вперед скажем, противоядие есть, но вряд ли оно всем «по зубам». Ведь все знаем, как правильно, но правильно – сложно. В любом случае мы верим, что предупрежден – вооружен. А наши читатели уж точно самые privacy-совестливые.
Законопроект об оборотных штрафах обещают принять до конца 2024 г. Пока Правительство ко 2-му чтению прорабатывает механизмы смягчения наказания. Так, чтобы рассчитывать на смягчение наказания оператор должен:
➡️Инвестировать в ИБ в размере n-рублей в год. ➡️Выплатить пострадавшим компенсацию. ➡️Подтвердить соблюдение требований к защите ПД. ➡️Не иметь обстоятельств, отягчающих ответственность.
Что тут важно? Условия смягчения наказания все еще дорабатываются, но уже очевидно, что отношение оператора к ПД до утечки будет оцениваться так же строго, как и его действия по реагированию на инцидент. На практике, такой подход уже применяется РКН, эти же обстоятельства учитывают суды при принятии решения о назначении наказания. Именно такой подход и помог нам избавить компании от штрафов. А после принятия закона об оборотных штрафах это не только не изменится, а наоборот – станет куда более актуально.
Как оператору доказать privacy-совестливость? Чтобы избежать штрафов за утечку, придется доказать сперва РКН, а затем и суду – все, что можно и нужно было сделать для предотвращения утечки и минимизации ее последствий, вы своевременно и в полном объеме сделали. Итого, есть две группы доказательств, которые необходимо собрать: 1️⃣ доказательства рутинных privacy-процедур по предотвращению утечек и 2️⃣ доказательства надлежащего реагирования на утечку для минимизации ее последствий.
Мы подготовили чек-лист мероприятий и артефактов, которые нужны для 1-й группы. Они помогут убедить РКН и суд, что вы не так уж и плохи, несмотря на утекшие ПД. Безусловно набор мероприятий корректируется в зависимости от типа и контура утечки, но чек-лист даст понимание, как нам удалось защитить клиентов, и в какую сторону вам двигаться.
Отдельно еще обязательно поделимся мнением про 2-ю группу артефактов – реагирование на инциденты и минимизация их последствий.