Компании получат оборотные штрафы, если допустят утечку информации более чем 10 тыс. субъектов персональных данных. Такой вариант обсуждается рабочей группой при Минцифры, которая готовит законопроект об оборотных штрафах за утечки данных, сообщает РБК со ссылкой на свои источники, близкий к министерству. В случае если объем окажется меньше, компания также получит штраф, но не оборотный, а фиксированный. Среди смягчающих обстоятельств, которые позволят снизить штраф, рассматриваются такие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности.
В апреле глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов. Обсуждалось, что штраф составит до 1% от оборота. Крупные ИТ-компании как альтернативу предложили трехступенчатую систему наказания: если данные клиентов или сотрудников компании скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации — заплатить крупный штраф; при третьей утечке — оборотный штраф.
Эксперты, опрошенные РБК, отметили, что важно не столько количество субъектов, чьи данные утекли, сколько категория этих данных: к примеру, утечка паспортных или финансовых данных гораздо опаснее информации о номерах телефонов клиентов.
По текущему законодательству максимальное наказание за утечку персональных данных для юрлиц — это штраф 500 тыс. руб.
В Минцифры заявили агентству, что законопроект об оборотных штрафах за утечку персональных данных находится в стадии разработки и будет представлен в середине сентября.
