С оглядкой на GDPR

В минувший четверг в России вступила в силу первая часть обновленных требований по защите персональных данных. Несмотря на то, что закон 266-ФЗ, где эти изменения зафиксированы, был внесен и принят в текущем году, ожидался он давно. При этом, как это часто бывает, некоторые нормы были позаимствованы из европейского регламента по защите данных (GDPR), который появился еще в 2018 г., но до сих пор не заработал в полную силу. И для появления GDPR, и для изменений в российское законодательство по защите персональных данных триггером стали громкие утечки и их последствия в виде волны мошенничества, в частности, телефонного. "Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей простотой и удобством и, в итоге, причиняют еще больший ущерб гражданам", - так мотивировало российское Минцифры предложения по усилению ответственности за утечки персональных данных. \[quote\] https://www.comnews.ru/content/221226/2022-07-18/2022-w29/shtrafy-utechkam-ne-pomekha \[/quote\] Некоторые из этих мер, в частности, экстерриториальный характер законодательства о защите персональных данных и прямой запрет рассматривать бездействие субъекта в качестве согласия, уже действуют с 1 сентября 2022 г. Ряд мер вступает в действие только 1 марта 2023 года, а часть анонсированных изменений, в том числе связанных с усилением ответственности для нарушителей, еще только предстоит принять. На Западе проблемы, связанные с ростом количества случаев разнообразного мошенничества с использованием украденных личных данных, начались еще в 2014-2015 гг. При этом целевая аудитория и схемы, используемые мошенниками, отличались от тех, которые были ориентированы на русскоязычных людей, в том числе и из ЕС. Эта проблема сохраняет актуальность и до сих пор. В одной только Германии количество эпизодов с телефонным мошенничеством измеряется десятками тысяч. По некоторым из них удалось украсть до 5 млн евро. Использовалось (и используется до сих пор) несколько схем. В отношении русскоязычных применяются те же сценарии, что и в отношении жителей России: звонки якобы из банков о попытках вывести деньги со счетов или "мама, я попал в беду". Мигрантов с Ближнего Востока и Северной Африки пытаются шантажировать угрозами сообщить о них миграционным властям. Широкое распространение получила схема, когда злоумышленник выманивает реквизиты платежных карт якобы для того, чтобы оплатить доставленное не по адресу важное отправление, которого потенциальная жертва действительно ждет. В 2022 г. в России количество резонансных утечек большого масштаба заметно выросло. Это стало одной из форм атак на компании и учреждения. При этом, по мнению генерального директора "РТК-Солар" и вице-президента "Ростелекома" Игоря Ляпунова, до 90% утечек, о которых говорят в СМИ и в интернет-пространстве, являются фейковыми, полученными компиляцией данных, собранных из открытых источников или в результате давних инцидентов. Тем не менее, каждый такой случай сам по себе является атакой на компанию или одним из элементов такой атаки. Каждый подобный эпизод, согласно эмпирическим данным, приводит к оттоку 10-15% клиентов. Другая задача, которую был призван решить GDPR, – заставить соблюдать нормы по защите персональных данных крупнейшие международные ИТ-компании, прежде всего, Google, Amazon, Microsoft и Meta (признана экстремистской и запрещена на территории РФ). Именно по этой причине GDPR является экстерриториальным. Без внимания не остались и структуры самого ЕС. К примеру, в начале текущего года Европол обязали удалить 4 петабайта данных, собранных в правоохранительных органах европейских стран, которые наднациональная структура хранила незаконно, что называется, на всякий случай. Однако пока в деле укрощения зарубежных ИТ-гигантов больших успехов достичь не удалось. А вот в деле дрессировки бизнеса из стран ЕС успехи налицо. Главным инструментом, как многие считают, тут стали оборотные штрафы. В случае первого нарушения размер такого штрафа составляет 2% от выручки, но не более 10 млн евро, в случае рецидива размер удваивается. Учитывая то, что бизнес в ЕС работает с низкой маржой, подобные штрафы могут стать разорительными даже для крупных компаний. Так что если случаи рецидивов и есть, то они единичны. Да и первого штрафа для многих оказалось достаточно. Например, авиакомпания British Airways получила штраф более 200 млн евро за утечку данных 500 тыс. пассажиров, которая включала и данные платежных карт. Ненамного меньше выплатила сеть отелей Marriott за массовую утечку данных 30 млн клиентов. Правда, появилось несколько лазеек. Одна из них – страхование киберрисков, которое покрывает такой ущерб. Но это работает только там, где законодательство допускает страхование такого рода рисков. В России, например, такое не допускается. Другой способ заключается в том, что обработка персональных данных передается специально созданной инсорсинговой компании с незначительным оборотом. А вот эта технология вполне может оказаться применимой в России. Однако, такие меры могут и не понадобиться. Регуляторы не стали устанавливать высокие ставки оборотных штрафов в России. Тем более, что в нашей стране маржа куда больше, чем в Европе, так что данная мера не будет такой действенной. Но, с другой стороны, существует ненулевая вероятность того, что мораторий на плановые проверки компаний по соблюдению законодательства о персональных данных перестанет действовать раньше, чем планировалось. А эта мера может оказаться куда более значимым "лекарством" от правового нигилизма и заставить компании действовать в нужном направлении. Пока же, как показало исследование ИТ-компании "КРОК", полностью готовы к изменившимся требованиям по защите персональных данных лишь 4% российских компаний, а 20% и вовсе не начинали работу в данном направлении. Ссылка на источник