Оборотные штрафы за утечки информации в зарубежной практике

Пока остро обсуждается тема введения оборотных штрафов за утечки информации, в обзоре рассмотрим примеры регулирования этого вопроса в других странах. Так, например, управление Комиссара по информации Великобритании (ICO) недавно опубликовало Руководство по штрафам за утечки информации, в котором подробно описан процесс принятия решения о применении оборотного штрафа, и которое ранее было опубликовано для общественного обсуждения таким же образом, как законодательные инициативы.

Штрафы за утечки информации

На текущий момент максимальный размер штрафа за утечки информации в Великобритании и Евросоюзе составляет:

• Общий регламент Великобритании по защите данных (GDPR) и Закон о защите данных 2018 года (DPA 2018) за утечку информации устанавливает штраф размером до 4% от годового оборота. Так, в 2019 British Airways за утечку персональных данных заплатила штраф более 183 млн фунтов стерлингов.
• GDPR ЕС устанавливает максимальный штраф также до 4% от годового оборота организации.

В России, во внесенном в конце 2023 года в Государственную Думу законопроекте об оборотных штрафах за утечки персональных данных устанавливают ответственность в соизмеримых пределах — напомним, при повторном нарушении организацию предлагают штрафовать в размере от 0,1% до 3% от ее годового оборота. Проект ушел на доработку, в том числе, потому, что в документе пока не учтены смягчающие обстоятельства при вынесении решения.

В Великобритании не все нарушения GDPR приводят к штрафам. Управление комиссара по информации может предпринимать и другие действия, в том числе:

• вынести предупреждение;
• наложить временный или постоянный запрет на обработку данных;
• предписать удалить данные.

Смягчающие факторы при назначении штрафа за утечку информации в Великобритании

• При расчете суммы налагаемого штрафа регулятор будет учитывать, активно ли взломанная организация работала над «смягчением ущерба, нанесенного субъектам данных» и сотрудничала ли с ICO. Поэтому к организациям, которые тесно сотрудничали с регулирующими органами и должностными лицами в сфере кибербезопасности (например, с Национальным центром кибербезопасности страны), будут относиться с большей снисходительностью. Регулятор сообщил, что вынесение штрафа «включает в себя оценку с учетом всех обстоятельств каждого дела».
• Поскольку руководство охватывает организации разных форм собственности и размеров, при определении суммы штрафа за утечку информации также учитываются размер организации и ее годовой доход.
• Регулятор оценивает, затрагивает ли утечка особо конфиденциальные данные, распространение которых потенциально причинит ущерб субъектам данных — например, данные о местоположении, финансовая информация, личные сообщения, паспорта и водительские права.
• Таким образом, при наложении штрафа учитываются серьезность нарушения, включая любые неумышленные или умышленные действия. Максимальные штрафы устанавливаются от 20% до 100% от максимально возможной суммы. Штрафы за утечки информации средней степени тяжести устанавливаются от 10% до 20% от максимальной суммы, а штрафы за происшествия меньшей степени тяжести варьируются от 0% до 10%.
• Если компания, допустившая утечку информации, является дочерней организацией, штраф обычно будет основываться на годовом обороте материнской компании.

Для сравнения, в США штрафы за утечки не являются оборотными, но факторы, влияющие на их размер, похожи на британские и учитывают:

• Степень нарушения. Например, финансовая информация, номера социального страхования и медицинские записи, обычно считаются более серьезными, чем нарушения, которые приводят к потере менее конфиденциальных данных.
• Количество пострадавших лиц.
• Меры по реагированию и ликвидации инцидента информационной безопасности.
• История соблюдения организацией требований по информационной безопасности. 

Компании, у которых уже были проблемы с соблюдением законодательства или произошли повторные утечки данных, с большей вероятностью получат более высокие штрафы.

В США штрафовать могут несколько регулирующих органов, например, Федеральная торговая комиссия (FTC) может накладывать штраф до $40 тысяч за нарушение, и каждый последующий день несоблюдения закона считается отдельным нарушением. Так, в 2019 году Facebook (запрещена на территории РФ) была оштрафована на $5 млрд за нарушение конфиденциальности информации о своих пользователях.

Таким образом, такие меры наказания за утечки информации, как оборотные штрафы, в зарубежном законодательстве практикуются уже не один год.

Введение оборотных штрафов с условием рассмотрения каждого случая индивидуально, с учетом всех смягчающих факторов и соразмерностью самих штрафов может стать для организаций эффективной и стимулирующей мерой для шагов по защите себя и своих клиентов.