Главе правительства РФ Михаилу Мишустину направили финальную версию законопроекта, вводящего оборотные штрафы за утечки персональных данных. Документ, как сообщает РБК, оформлен как поправки в Кодекс об административных нарушениях. Согласно инициативе, если утечка касается от 1 тыс. до 10 тыс. субъектов персональных данных, штраф для юрлиц составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. За утечки биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб. Также предлагается ввести штрафы за утечки персональных лиц для граждан и должностных лиц.
РБК приводит данные «Лаборатории Касперского»: в 2022 году было опубликовано более 2 млрд записей почти с 300 млн пользовательских данных. Лидерами по объему скомпрометированных данных были сферы доставки (34%) и ретейл (14%). Сейчас максимальный штраф для компаний, допустивших утечки персональных данных, составляет до 100 тыс. руб. и до 300 тыс. руб. при повторном нарушении.
Предполагается, что поправки вступят в силу спустя 30 дней после официального опубликования.
По словам источника РБК, также предполагается внести изменения в Уголовный кодекс: незаконное использование, передача или сбор персональных данных, полученных неправомерным путем, будут наказываться штрафом до 300 тыс. руб. или лишением свободы на срок до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных или биометрические персональные данные.
Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до восьми лет со штрафом до 2 млн руб.
Весной прошлого года глава Минцифры Максут Шадаев предложил ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что бизнес опасается скорее репутационных издержек, нежели штрафа. При этом в министерстве говорили, что будут учитывать смягчающие и отягчающие обстоятельства при определении размера штрафа. Если компания приложила максимум усилий по защите информации — расценивать как смягчающее обстоятельство, если она скрывала факт утечки — как отягчающее.
Участники рынка просил смягчить наказание, пишет издание. В частности, выносить предупреждение компании, если данные ее клиентов или сотрудников были скомпрометированы впервые; в случае повторной компрометации — назначать крупный штраф и только при третьей утечке — оборотный. В декабре 2022-го Шадаев заявил, что законопроект готов. Он отмечал, что, если компания не обеспечивает сохранность данных, штраф может составить до 3% от оборота. Но оговаривался, что при назначении штрафа будут учитываться смягчающие обстоятельства, например, если компания возместила ущерб двум третям пострадавших или продемонстрировала, что инвестировала дополнительные средства в инфраструктуру для обеспечения безопасности. Однако в финальной версии смягчающие обстоятельства не упоминаются.
Президент Ассоциации компаний интернет-торговли Артем Соколов говорит, что законопроект не обсуждался с бизнесом. «По имеющейся информации, в законопроекте остались нерешенными ключевые проблемы: безвиновная ответственность, когда компания выполнила все требования по обеспечению защищенности, но хакер добился своего; отсутствие порядка верификации баз данных, когда любую базу данных, в том числе открытых, например из соцсетей, можно объявить утечкой. И самое главное — размеры штрафов», — цитирует Соколова РБК.