Минцифры раскрыло детали законопроекта об оборотных штрафах за утечки данных

Министерство цифрового развития хочет усилить ответственность операторов персональных данных за утечки и готовит соответствующие изменения в законопроект, следует из сообщения Минцифры в его Telegram-канале.

Ведомство сообщает, что поправки вводят новые положения:

• Во-первых, будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. «Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные», — приводит пример ведомство.

• Во-вторых, будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте.

• В-третьих, штрафы будут применяться в два этапа. За первую утечку персональных данных штраф будет фиксированным и его размер будет зависеть от объема утекших данных. В случае же повторения ситуации с утечкой будет применяться оборотный штраф.

• В-четвертых, для оборотных штрафов будут установлены границы («от» и «до» какого процента от выручки можно будет взыскать штраф). Будут учитываться смягчающие и отягчающие обстоятельства. «Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным», — указывает министерство.

• Наконец, будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Как указывают в министерстве, возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.

Как отмечают в Минцифре, один из рассматриваемых вариантов расходования собранных штрафов – это выплаты компенсаций гражданам, пострадавшим от утечек. В частности, может быть создан специальный фонд, который будет действовать по аналогии с Агентством по страхованию вкладов (АСВ), выплачивающим возмещения вкладчикам банков при наступлении страховых случаев, указывает ведомство.

Ранее «Коммерсант» со ссылкой на собственные источники сообщал, что на майском обсуждении инициатив по ужесточению ответственности за утечку и распространение персональных данных, представитель Минцифры говорил, что виновники утечки могут быть оштрафованы на 1% от годового оборота. Впрочем, оборотный штраф может вырасти до 3% в том случае, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток.