В Казахстане продолжают утекать персональные данные граждан. И продолжат, уверены эксперты, если не изменить законодательство в этой области. В качестве действенной меры эксперты предлагают введение так называемых оборотных штрафов. Нынешнее же законодательство не позволяет наказать источник утечки равноценно ущербу от компрометации данных
Ситуация в мире явно дает понять: одна из самых дорогих «субстанций» — это наши персональные данные. Буквально во второй половине прошлого месяца информационное пространство сотрясло (будем точнее, сотрясло там, где осознают важность) сообщение — Meta, материнская компания Facebook, оштрафована ирландским регулятором на 1,2 миллиарда евро за нарушения, связанные с передачей данных пользователей из ЕС в США.
Пока это рекорд на территории ЕС. Однако это не первый столь крупный штраф в отношении FB. Так, в 2019 году эту же организацию Федеральная торговая комиссия США оштрафовала на 5 миллиардов долларов. То есть около девяти процентов от оборота за 2018 год. Причина та же — утечка персональных данных. Это заставило FB создать специальный отдел, который мог бы следить за соблюдением законодательства в этой сфере в масштабе всего мира.
Видим, что им не удалось избежать штрафов даже в этом случае. Почему это произошло, тема отдельного материала. Сейчас нам важно другое — механизм наложения штрафа. Астрономическими, по нашим меркам, суммы получаются ввиду формулы расчета размера штрафа — в зависимости от оборота. Их еще называют оборотными. Они отлично работают в развитых странах по отношению к IT-гигантам. Оказывается, оборотный штраф является для бизнеса почти высшей мерой наказания. Страшнее по последствиям только приостановка деятельности.
В Казахстане все иначе — к нарушителям исключительно лояльны. Поэтому утечки, за которые не наказывают адекватно ущербу, происходят регулярно.
К слову, на территории ЕАЭС вроде бы тоже начинали думать в этом направлении и прикидывать, как наказывать с оборота. Но все равно получалось не в той степени, которая могла бы изменить ситуацию так, чтобы штраф буквально заставил, побудил компанию принять адекватные меры. Буквально в середине мая этого года в РФ представили законопроект, который усиливал ответственность за утечку персональных данных. Он подразумевал увеличение штрафа до пяти раз. И все равно независимые эксперты увидели в нем явное лобби локальных IT-гигантов. Потому что в изначальном варианте предлагалось ввести штраф в размере трех процентов от оборота. Но прецедент, получается, создавать не стали.
Что касается Казахстана, то у нас не было даже попыток изменить, ужесточить, существующее законодательство. И это несмотря на такие масштабнейшие утечки, как, например, произошедшая в 2019 году, когда в открытый доступ ушли данные 11 миллионов сограждан. Или совершенно недавняя, которая была обнаружена АО »Государственная техническая служба» (ГТС) в конце апреля. По данным источника, на интернет-ресурсе одного из казахстанских банков второго уровня находилась информация о сотрудниках с паролями от доступа к VPN. И эта информация, говорят эксперты, вполне могла быть использована преступниками для доступа к счетам и деньгам.
Что говорит закон?
По статье 79 КоАП, ответственность за несоблюдение мер по защите персональных данных подразумевает максимальное наказание в виде штрафа в тысячу МРП (1 МРП — 3450 тенге) на субъектов крупного предпринимательства. Есть и уголовная ответственность за утечку личных данных. Это регламентируют статьи 147 и 211 УК РК — предусмотрено наказание до семи лет лишения свободы.
Но вот в чем дело. По мнению независимых экспертов, такое наказание в данном случае совершенно неэффективно. Потому что штрафы небольшие, а уголовное наказание в отношении технического специалиста, которого сделают крайним, вообще не работает, так как это не заставляет менять принципы и подход к обеспечению безопасности данных в самой организации. На место посаженного придет новый, и так продолжится до бесконечности. Вот если бы вместе с техническим специалистом сажали первого руководителя или его первого заместителя, уверены эксперты, это изменило бы ситуацию.
Но, как говорится, имеем то, что имеем. Поэтому чуть ли не единственный выход — введение оборотных штрафов. Доказывать, что это эффективно хотя бы в экономическом плане, мы не будем — мировая повестка, о которой мы сообщали в начале, говорит сама за себя.
Да, к слову, сажать «первых» прицепом тоже можно. И это помогло бы в отношении госорганов, допустивших утечку, так как их по карману по понятным причинам не ударишь.
Что происходит у нас?
Как правило, дальше служебного расследования и возможного штрафа дело не идет. Как показывает практика, сложно представить у нас за это и уголовную ответственность. За всю историю суверенного Казахстана и отдельно нашей цифровой эры не было ни одного по-настоящему показательного, яркого судебного процесса с наказанием виновных за утечку персональных данных казахстанцев. Даже увольнений крупных руководителей проштрафившихся организаций не было! Поэтому ситуация в ближайшее время не изменится, считают эксперты, если не начать хотя бы серьезно бить рублем.
Впрочем, казахстанцы в какой-то степени тоже беспечны — у нас в обществе слабо развито понятие цифровой гигиены. Почему так — это отдельный разговор. И к нему мы вернемся в будущих публикациях. Сейчас же хотим отметить следующее: мы не придаем должного значения своим данным и не готовы защищать их неприкосновенность. Просто не знаем, как это делать. Нет и специалистов, которые могли бы представлять, предположим, интересы отдельно взятого человека.
Ситуация с возможными утечками персональных данных, по мнению экспертов, в Казахстане в ближайшее время будет только усугубляться. Это неизбежно ввиду все увеличивающейся цифровизации общества. Поэтому видно, как буквально на глазах устаревает существующее законодательство, которое регулирует ответственность за утечку данных. К слову, стоимость персональных данных казахстанцев (есть методики оценки), говорят эксперты, может достигать 10 процентов от ВВП Казахстана, который по итогам 2022 года составил более 200 миллиардов долларов.
Даулет Алтаев
Источник фото: https://egov.kz/