Минцифры предложило новые условия для оборотных штрафов с компаний за утечки данных
Минцифры подготовило новую версию законопроекта об оборотных штрафах за утечки персональных данных. За утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут, следует из последней редакции законопроекта. Он предусматривает штрафы для должностных лиц — до 400 000 рублей
Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных и предусмотрело в нем ответственность для должностных лиц, сообщают «Ведомости» со ссылкой на текст документа в последней редакции. За утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут, следует из него.
Последняя редакция законопроекта будет обсуждаться на совещании по вопросам регулирования законодательства в области персональных данных, которое пройдет в Минцифры 6 октября. В Минцифры на запрос газеты не ответили. Кодекс об административных правонарушениях (КоАП) предусматривает штрафы за утечку данных только для юридических лиц — от 60 000 до 100 000 рублей, а при повторном правонарушении — до 500 000 рублей. Ужесточить наказание за утечки данных россиян власти решили после утечек в нескольких крупных компаниях и сервисах весной 2022 года. Тогда в сеть попали, в частности, данные пользователей «Яндекс Еды», Delivery Club и клиентов СДЭК.
В новой версии законопроекта для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит от 200 000 рублей до 400 000 рублей. Для ИП и юрлиц штраф за такое же происшествие составит 0,02% от оборота, но не менее 1 млн рублей. В начальной редакции законопроекта предлагалось штрафовать компанию в размере 1% от годовой выручки и в размере до 3%, если она не сообщила вовремя об утечке. В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей, рассказал источник, знакомый с обсуждением проекта.
Новая версия смягчает меры наказания в случае, если компания допустила утечку впервые и сама предприняла действия по защите информации. В позиции Минцифры по поводу статуса законопроекта отмечается, что добровольный аудит систем информационной безопасности компании может рассматриваться «как смягчающее обстоятельство» и подтверждать меры, принятые для защиты от утечек.
Оборотные штрафы, согласно новой редакции законопроекта, применяются, когда утечка базы данных объемом от 10 000 до 100 000 записей позволяет определить принадлежность этих данных не менее чем 1000 конкретных субъектов. Если объем утечки превышает 100 000 записей, то принадлежность должна определяться у 10 000 субъектов. Таким образом за утечки баз, не позволяющих идентифицировать достаточное количество субъектов персональных данных, штрафы налагаться не будут.
По словам технического директора АО «Синклит» Луки Сафонова, размер штрафа 200 000–400 000 рублей подъемный для руководителей компании. Руководитель отдела консалтинга Group-IB Роман Сюбаев назвал персональную ответственность за утечку персональных данных в целом неоправданной мерой. По его мнению, фокус на штрафах для компаний больше будет мотивировать бизнес ответственно относиться к защите данных.
Норма вводится для чиновников и госслужащих, работающих в органах власти, для которых неприменимы оборотные штрафы, полагает бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. Основатель и гендиректор «Бюро цифровых технологий» Виталий Зарубин отметил, что персональная ответственность — это «не совсем то направление, в котором нужно смотреть», он назвал «допустимым и логичным» штраф с оборота.