«Коммерсантъ»: оборотные штрафы за утечки данных составят от 5 млн рублей до 500 млн
Для оборотных штрафов за утечки персональных данных может быть установлен верхний предел в 500 млн рублей, а нижний — в 5 млн, выяснил «Коммерсантъ». Участники рынка опасаются, что инициатива в случае принятия доработанного законопроекта Минцифры о штрафах, может привести к «дроблению» российского бизнеса, чтобы уменьшить облагаемые штрафом доходы
Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях, пишет «Коммерсантъ». По словам собеседника, знакомого с последней версией документа, размер штрафа в ней предусматривается в диапазоне от 5 млн до 500 млн рублей. Верхний предел штрафа предусматривается для случаев, когда компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, к примеру попыталась скрыть инцидент.
Собеседники газеты пояснили, что штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. В случае принятия инициатива должна вступить в силу в сентябре 2023 года. Ужесточить наказание за утечки данных россиян власти решили после утечек в ряде крупных компаний и сервисов весной. Тогда в сеть попали, в частности, персональные данные пользователей «Яндекс.Еды», Delivery Club и клиентов СДЭК. Последние по времени утечки произошли из подведомственного Роскомнадзору Главного радиочастотного центра и службы заказа такси «Ситимобил».
В октябре «Ведомости» писали, что Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных. Согласно новой редакции, для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит от 200 000 до 400 000 рублей. Для ИП и юрлиц штраф за такое же происшествие составит 0,02% от оборота, но не менее 1 млн рублей. Компаниям, допустившим утечку более 100 000 записей, грозит штраф в 1–3% от оборота.
В середине декабря глава министерства Максут Шадаев заявлял, что за несоблюдение сохранности персональных данных законопроектом предусмотрен штраф в размере до 3% от годового оборота компании. Смягчающими обстоятельствами он называл «возмещение ущерба двум третям пострадавших от утечки», а также сертификация «всей инфраструктуры в соответствии с требованиями безопасности».
Сумма 500 млн рублей в случае максимальной ответственности будет значительной даже для крупной компании, говорит собеседник в IT-отрасли. Но вопросы у него вызвало понятие повторности нарушения — публикация данных, по словам источника, «далеко не всегда означает нарушение правил хранения данных», зачастую публикуются компиляции баз данных. В одной из IT-компаний отметили, что оборотные штрафы могут привести к «дроблению» бизнеса с целью сократить базу для штрафа в случае возможных утечек, в частности, по региональным подразделениям или сфере деятельности.
Директор по консалтингу ГК InfoWatch Ирина Зиновкина полагает, что раньше заплатить штраф было дешевле, чем внедрять средства защиты в компании, а внедренных мер, как технических, так и организационных, недостаточно для предотвращения утечек. Инициатива стимулирует компании «провести ревизию того, что необходимо сделать в части защиты данных», считает исполнительный директор «Кросс технолоджис» Лев Фисенко. По его словам, открытым остается вопрос, что будет с государственными организациями, которые допустят утечки.