Рабочая группа при Минцифре обсуждает вопрос о замене оборотных штрафов на фиксированные для компаний за утечки, если они затрагивают менее 10 тыс. граждан. Однако, по мнению экспертов, важно не количество, а характеристики этих данных.
Штрафы за утечки
Компании-нарушители получат оборотные штрафы, если утечка информации будет касаться более чем 10 тыс. субъектов персональных данных. В настоящее время инициативу обсуждают в рабочей группе при Минцифры, в рамках разработки законопроекта об оборотных штрафах за утечки данных. За утечки с объемом данных меньше установленного значения, компания также получит штраф, но не оборотный, а фиксированный.
Напомним, что в апреле глава Минцифры Максут Шадаев предложил ввести оборотные штрафы для организаций, допустивших утечку персональных данных. Проект разрабатывался совместно с Роскомнадзором и не будет касаться госорганов, отметил министр. Размер штрафа составит до 1% от оборота. Крупные ИТ-компании утверждали, что риски утечек есть независимо от того, как сильно организация вкладывалась в информационную безопасность. И просили смягчить формулировки документа.
В середине июля в Минцифры обсуждали следующие предложения для законопроекта:
- Наложение штрафов в два этапа: за первую утечку – фиксированный (размер в зависимости от объема данных), за повторное нарушение — оборотный штраф. Также власти установят минимальный и максимальный процент от выручки для оборотного штрафа.
- Будут учитывать смягчающие и отягчающие обстоятельства при определении размера штрафа. Например, сокрытие факта утечки будет расцениваться как отягчающее.
- Возможность создания специального фонда по аналогии с Агентством по страхованию вкладов, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.
Сейчас власти обсуждают, что оборотный штраф может грозить компаниям за любую утечку, если она коснулась более 10 тыс. граждан. Неважно, какая по счету она была.
Один из источников назвал ряд обстоятельств, которые «позволят снизить штраф вплоть до фиксированного значения в несколько миллионов»: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности.
Собеседник отметил, что вопрос создания фонда для компенсации ущерба в стадии проработки.
По словам представителя Минцифры, законопроект об оборотных штрафах за утечку персональных данных еще разрабатывается и будет представлен в середине сентября.
«Ищем компромисс с бизнесом и отраслью. Минцифры выступает за ужесточение и усиление ответственности за утечки персональных данных. Но задача не в самих штрафах, дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей», — рассказал представитель министерства.