Минцифры включило несколько новых условий в законопроект об оборотных штрафах для компаний, допустивших утечку данных. Кроме ужесточения наказаний, законодатели учли и смягчающие обстоятельства.
Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях, сообщают «Ведомости» со ссылкой на источники в ведомстве. С предложением законопроекта об оборотных штрафах Минцифры выступило в апреле 2022 года: тогда была согласована версия, предполагающая штраф в размере 1% от годовой выручки.
Штраф увеличивался до 3%, если компания вовремя не сообщала об утечке в Роскомнадзор. Теперь условия изменили: такие штрафы будут получать компании, у которых утекло данных более чем на 100 тыс. записей. Если не удается установить объем утекшей базы, штраф налагаться не будет.
Новая версия законопроекта подразумевает штрафы и для компаний, и для их должностных лиц. В случае утечки данных от 10 тыс. до 100 тыс. субъектов, руководитель может заплатить штраф от 200 тыс. руб. до 400 тыс. руб., а ИП и юрлица — 0,02% оборота не менее 1 млн руб. Эти суммы представлены в повестке к совещанию по вопросам регулирования законодательства в области персональных данных, которое пройдет в Минцифры 6 октября.
В новую версию также добавили более мягкое наказание для компаний, допустивших утечку в первый раз, несмотря на приложенные усилия к защите данных, например добровольный аудит систем информбезопасности. Ранее штрафы предусматривались только для юрлиц и варьировались от 60 тыс. до 100 тыс. руб. В случае повторного правонарушения сумма возрастала до 500 тыс. руб.
«В случае принятия такая мера будет способствовать тому, что должностные лица будут принимать соответствующие меры для обеспечения надежной защиты персональных данных», — считает технический директор АО «Синклит» Лука Сафонов.
Однако руководитель отдела консалтинга Group-IB Роман Сюбаев утверждает, что персональная ответственность не является оправданной мерой, поскольку причина утечки — в неправильно выстроенной системе защиты данных. Поэтому коллективный штраф подошел бы больше, так как он стимулировал бы всю компанию относиться к хранению персональной информации ответственнее.
Основатель и гендиректор «Бюро цифровых технологий» Виталий Зарубин тоже полагает, что назначать штраф с оборота компании логичнее, хотя сама идея штрафа не подходит для решения проблемы: «Штраф — это последствие. А нужно устранять саму причину».
Узнайте больше
К разработке законопроекта об оборотных штрафах Минцифры приступило в конце августа, решив таким образом мотивировать бизнес больше вкладываться в информационную безопасность. С начала 2022 года в России на 46% участились случаи утечки данных. Самыми крупными и скандальными стали сливы пользовательских данных «Яндекс.Еды», «Гемотеста», DNS и Delivery Club.
Сентябрьское исследование Foundry показало, что 90% руководителей компаний со всего мира считают, что делают недостаточно для обеспечения кибербезопасности своей организации и данных, несмотря на то что уже сталкивались с серьезными киберугрозами.