В Российской Федерации регулярно фиксируются случаи неправомерного доступа к персональным данным граждан, хранящихся в информационных системах коммерческих организаций. Последствиями таких утечек является причинение морального и материального вреда гражданам, чьи данные становятся доступны третьим лицам и используются для противоправных действий.
Анализ ситуации показывает, что одной из ключевых причин утечек является системное недофинансирование мероприятий по обеспечению информационной безопасности. Решения об объеме выделяемых на безопасность средств принимаются руководителями и владельцами компаний, которые зачастую рассматривают эти расходы как факультативные. При этом действующее законодательство не устанавливает прямой зависимости между фактом недостаточного финансирования защиты данных и персональной материальной ответственностью лиц, принявших такие решения. В результате риски, связанные с обработкой персональных данных, де-факто перекладываются на граждан, а компании отделываются незначительными штрафами, несоизмеримыми с причиненным ущербом.
Практический результат
Реализация данной инициативы позволит:
повысить уровень защищенности персональных данных граждан Российской Федерации за счет создания у компаний экономических стимулов к реальному финансированию систем защиты.
обеспечить справедливое возмещение вреда гражданам, пострадавшим от утечек, за счет средств самих компаний и их руководителей, ответственных за создание условий для таких нарушений.
создать прозрачные и равные правила игры для всех участников рынка, исключив недобросовестную конкуренцию за счет экономии на безопасности.
повысить персональную ответственность лиц, принимающих управленческие решения в области обработки персональных данных.
Для решения указанной проблемы предлагается внести изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и Кодекс Российской Федерации об административных правонарушениях.
Предлагается законодательно закрепить следующие меры:
1. Установить для операторов, осуществляющих обработку персональных данных свыше определенного объема, обязанность по ежегодному выделению и целевому использованию средств на мероприятия по обеспечению безопасности персональных данных. Минимальный объем финансирования должен определяться как процент от годовой выручки оператора или как фиксированный минимум, устанавливаемый уполномоченным органом с учетом отраслевой специфики.
2. Ввести персональную административную ответственность для членов советов директоров, генеральных директоров и бенефициарных владельцев компаний в случае подтвержденной утечки персональных данных, если будет установлено, что утечка произошла вследствие системного недофинансирования мер защиты ниже установленного законом минимального порога. Размер штрафа должен быть кратен размеру причиненного ущерба.
3. Упростить для граждан-субъектов персональных данных процедуру взыскания компенсации морального вреда с компании-оператора, допустившего утечку, в случае доказанного факта несоблюдения нормативов по финансированию защиты данных.
Для голосования вы должны быть
.
Внимание! Отозвать голос можно только один раз в течение 2 часов с момента голосования
Для рассмотрения решения на федеральном уровне осталось 99 980 голосов
Против решения: 2 голоса