Moscow Digital School: Большинство юристов в России поддержали оборотные штрафы за утечку персональных данных

Введение оборотных штрафов в России за утечки персональных данных поддерживает более половины опрошенных юристов (50,8%), свидетельствуют результаты исследования, проведенного образовательной платформой Moscow Digital School (входит в Ultimate Education).

Те, кто поддерживают инициативу, отмечают, что только такие методы могут заставить операторов серьезно отнестись к защите персональной информации. Однако 36,4% из них уверены, что реализовывать эту идею на практике слишком рано, так как сложно будет создать надлежащую инфраструктуру для защиты данных. 12,1% не согласны с ведением оборотных штрафов в России, они отмечают, что нужно не накладывать штрафы, а использовать мягкую силу, например, стимулирование и поощрение операторов за надлежащую защиту персональных данных, свидетельствуют результаты исследования.

Говоря о наиболее частой причине утечки персональных данных, 42,4% юристов считают, что это халатность и неосведомленность сотрудников об использовании злоумышленниками методов социальной инженерии. 34,8% связывают такие эпизоды с отсутствием в организациях надлежащей системы обработки ПД, не разработанные или плохо разработанные документы в области защиты данных, отсутствие инструкций и порядка действий при утечке данных. 22,7% уверены, что частая причина утечки данных заключается во взломе или получении доступа к средствам защиты информации, а также в использовании устаревшего или нелицензированного ПО, антивирусных программ, ненадежных облачных сервисов.

Более 90% юристов считают, что для обеспечения безопасной обработки персональных данных в компании необходимо использовать новейшие технологии. При этом больше половины из них (62,1%) уверены, что в этом вопросе может помочь технология блокчейн.

Для того чтобы компании снизить риски утечек данных, ей в первую очередь, по мнению 48,5% респондентов, необходимо обратить внимание на внутреннее регулирование процессов обработки и защиты ПД, в том числе на разработку, внедрение и контроль исполнения инструкций, журналов, регламентов, повышение осведомленности персонала, 27,3% – приобретение и регулярное обновление новейших средств защиты информации, в том числе антивирусных программ, программ для хранения данных. 15,2% рекомендуют обратить внимание на обеспечение высокого уровня комплаенса при передаче ПД третьим лицам, особенно в случае трансграничной передачи данных за рубеж. И 9,1% уверены, что киберстрахование поможет снизить риски.

Более половины (56,6%) респондентов уверены, что компаниям для того, чтобы избежать утечек персональных данных, важно проводить регулярный аудит систем обработки и защиты данных, при этом отмечая, что избежать полностью утечку невозможно, но аудит поможет снизить ее риски.

Также более половины (57,6%) опрошенных юристов сталкивались в своей практике с утечками персональных данных.

Как отметила преподаватель образовательной платформы Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович, результаты исследования продемонстрировали актуальность темы, которая на протяжении долгого времени обсуждается в индустрии.

«По мнению регулятора, именно такие меры, как введение оборотных штрафов, станут стимулом для компаний по усилению мер по обеспечению сохранности данных пользователей. При этом следует понимать, что практика оборотных штрафов в российских правовых реалиях невелика. Уже несколько лет они применяются за нарушение антимонопольного регулирования, и в этой связи расчет оборотного штрафа представляется логичным: как правило, берется выручка от реализации товара, на рынке которого совершено правонарушение», – сказала Орехович.

«В случае же с утечками регулятор идет по пути наложения оборотного штрафа в сумме выручки компании от реализации ею всей ее деятельности за соответствующий период. Это означает, что штрафы будут крайне внушительными для компаний. Кроме того, рассматривая перспективу введения оборотных штрафов, необходимо предусмотреть механизмы, позволяющие избежать безвиновной ответственности оператора: когда оператором учтены все риски, принятые все меры, но он, например, стал жертвой беспрецедентной кибератаки, случаи которых кратно увеличились в последние два года», – добавила она.

В исследовании использовались количественные методы, включая опрос студентов и преподавателей образовательной платформы Moscow Digital School. В опросе приняли участие более 400 юристов российских компаний и сотрудников юридических фирм, работающих с персональными данными в организациях.