Об этом сообщил «Курсиву» председатель комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан Абдыкаликов.
После получения заключения правительства законопроект официально поступит на рассмотрение парламента. Предполагается, что он может быть принят уже до конца текущего года, однако отдельные нормы могут вступить в силу не с момента его принятия парламентом и подписания главой государства, а чуть позже.
«К концу года, будем надеяться, они будут приняты, по каждой норме может быть отлагательный срок. Потому что норму могут принять, но сказать, что она будет действовать через полгода. По киберстрахованию вряд ли будет действовать сразу. Скорее всего, будет отлагательный срок не менее года, чтобы страховщики подготовились, рынок понял, что теперь делать», — сообщил Абдыкаликов.
Кроме того, до введения обязательного киберстрахования регулятор в лице Минцифры должен будет создать реестр операторов, имеющих у себя персональные данные более 1 млн человек. Пока же в ведомстве не знают, сколько точно таких компаний и банков в стране.
«К сожалению, подсчета никакого нет, потому что мы в 2020 г. предлагали норму, чтобы ставить на учет вообще всех операторов персональных данных. Эту норму нам не поддержали. В итоге мы, как регулятор, даже не представляем, сколько их в стране», — сказал он.
На такие меры регулятор с депутатами предлагают пойти на фоне недавних случаев с утечкой персональных данных казахстанцев. В частности, в марте Минцифры зафиксировало факт утечки данных 2 млн человек у микрофинансовой организации zaimer.kz (компания «МФО Робокэш.кз»). Единственным учредителем МФО «Робокэш.кз» является ROBOCASH PTE.LTD, зарегистрированная в Сингапуре.
За это компании выписали штраф на 1 тыс. месячных расчетных показателей (МРП), или 3,692 млн тенге, но поскольку компания оплатила штраф в ускоренном порядке, то сумма выплаты составила 500 МРП, или 1,846 млн тенге.
По действующим нормам пострадавшие могут обратиться за возмещением ущерба (материального и морального) в суд. Абдыкаликов отмечает, что основанием для обращения является установление факта утечки персональных данных государственной технической службой. По его словам, казахстанцы могут обратиться в суд как индивидуально, так и с коллективным иском.
С разработанными депутатами поправками получение компенсаций от операторов в случае установления факта утечки персональных данных станет более простым. Выплаты будут получаться по аналогии с обязательным страхованием гражданско-правовой ответственности автовладельцев. По его мнению, конкретная стоимость киберстрахования будет обсуждаться и установится на рыночных условиях.
«Возможно, повлияет (введение киберстрахования на стоимость услуг банков, сотовых операторов, страховых компаний и других операторов с 1 млн и более персональных данных. — „Курсив“). Рынок сам будет регулировать. Я не готов сейчас это сказать (сколько будет стоить такое страхование для операторов. — „Курсив“). Допустим, на нашем примере. Машина стоит в среднем около 10 млн тенге, а страхуете вы ее буквально за 15-16 тыс. тенге в год. Вот такая разница. Даже когда много субъектов будут страховать, а такое большое количество данных много у кого, на самом деле страховая услуга не будет такой дорогой, соответственно, на их конечные услуги вряд ли сильно повлияет», — отметил глава департамента.
По его словам, после того как оператор допустит утечку данных, стоимость киберстраховки для него повысится.
Абдыкаликов отметил, что сами операторы персональных данных эту норму вряд ли поддержат.
«Конкретную схему страхования надо обсуждать на рынке. Пока это только предложение, и, насколько я понимаю, рынок его и не поддерживает. Никто не хочет, чтобы у него появилось новое обязательство. Понятно, что граждане хотят получать деньги за свой ущерб, но бизнес не хочет платить», — сказал он.
Кроме того, соответствующими поправками предлагается увеличить в 2-3 раза штрафы за нарушения законодательства о защите персональных данных.
