В статье рассматриваются различия в подходах к ответственности за утечки персональных данных в России, США и Евросоюзе. Основные выводы: 1. **Россия**: — Компании грозят крупные штрафы (до 500 млн рублей за повторные нарушения). — Уголовная ответственность руководителей (до 10 лет) наступает только при доказанном участии в незаконном обороте данных, а не просто из-за внешнего взлома. — Обязательно уведомление Роскомнадзора в течение 24 часов после инцидента. 2. **США**: — Уголовные дела (как в случае с CISO Uber) возбуждаются за сокрытие инцидента или обман регулятора, а не за сам факт утечки. — Компании рискуют крупными штрафами и гражданскими исками. 3. **Евросоюз (NIS2)**: — Введены высокие штрафы (до 10 млн евро или 2% оборота). — Руководителей могут временно отстранить от должности за невыполнение обязанностей по управлению киберрисками. **Рекомендации для руководителей**: — Чётко прописать процедуры уведомления регуляторов. — Проводить учения по реагированию на инциденты. — Обеспечить прозрачность в принятии решений по безопасности. — Проверить условия страхового покрытия (D&O-страховка может не защитить при умышленных нарушениях). Главное: личная ответственность наступает не за сам факт утечки, а за действия после неё (сокрытие, обман регулятора или участие в незаконном обороте данных).
Источник: http://www.securitylab.ru/analytics/573079.php
