Минцифры внесло правки в законопроект об оборотных штрафах за утечки персональных данных в компаниях.
Источники сообщают, что ведомство доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях. Размер штрафов в обновленной версии проекта предусмотрен в диапазоне от 5 млн до 500 млн руб.
Максимальное наказание грозит организациям, которые допустили утечку данных повторно с момента вступления закона в силу и нарушили ряд требований регулятора, например попыталась скрыть факт утечки.
Сумму штрафа будут рассчитывать, исходя из размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент в рамках диапазона. Если закон примут, то он вступит в силу в сентябре 2023 года.
14 декабря глава Минцифры Максут Шадаев на встрече с президиумом фракции партии КПРФ в Госдуме заявлял, что за несоблюдение сохранности персональных данных предусмотрен штраф в размере до 3% от годового оборота компании.
Смягчающими обстоятельствами, будут считаться «возмещение ущерба двум третям пострадавших от утечки» и сертификация «всей инфраструктуры в соответствии с требованиями безопасности», — добавил он.
В Лаборатории Касперского подсчитали объем обнародованных персональных данных, вследствие самых крупных утечек в 2022 году. Цифры получились внушительными — 1,5 млрд записей.
Усиление защиты ПД
По мнению экспертов, большие штрафы простимулируют компании усилить меры безопасности.
Однако участники рынка считают, что законопроект может привести к «дроблению» российского бизнеса на более мелкие региональные подразделения для снижения доходов, которые будут облагаться штрафом.
«Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже», — отмечает один из экспертов в IT-отрасли.
Но, по его мнению, для такого шага необходимо всесторонне оценивать сопряженные риски, поскольку «дробление» влечет за собой серьезные юридические и финансовые изменения.
«Раньше было дешевле заплатить штраф, чем внедрить средства защиты, если утечка персональных данных не влечет репутационных рисков», — отмечает директор по консалтингу ГК InfoWatch Ирина Зиновкина. Она называет введенные меры недостаточными.
Инициатива Минцифры простимулирует компании «провести ревизию того, что необходимо сделать в части защиты данных, и, возможно, где-то усилить меры безопасности», — считает исполнительный директор «Кросс технолоджис» Лев Фисенко. Однако возникает вопрос с государственными организациями, у них также возникают инциденты с утечкой данных, при этом нет оборотных средств, заметил эксперт.
Фото: Firestock.