Оборотные штрафы для компаний за утечки персональных данных могут быть установлены в размере от 5 до 500 млн руб. Соответствующее предложение содержится в доработанном законопроекте Минцифры, пишет «Коммерсантъ» со ссылкой на источник, знакомый с заключительной версией документа.
По его словам, «верхний потолок» в 500 млн руб. будет применяться в случае, если компания допустит повторную утечку данных и попытается скрыть инцидент. В остальных случаях штраф предполагается рассчитывать исходя из размера выручки компании за календарный год. Если Госдума примет законопроект, он вступит в силу 1 сентября 2023 года.
В начале декабря президент России Владимир Путин потребовал ужесточить ответственность за утечку персональных данных граждан. 14 декабря глава Минцифры Максут Шадаев, выступая в Госдуме, предложил установить штрафы в размере 3% от оборота компании. «Вплоть до 3% сейчас предусмотрено в случае, если компания не обеспечивает сохранность данных. Сейчас обсуждаем его с представителями IT-отрасли», — отметил министр.
При этом он допускал «смягчающие обстоятельства»: если компания согласится компенсировать ущерб пострадавшим гражданам или если компания «аттестовала и сертифицировала всю свою инфраструктуру».
Согласно данным «Сетевых свобод», в 2022 году зафиксировано рекордное число утечек персональных данных россиян — 60 случаев за неполные 12 месяцев. По мнению экспертов, это связано с войной в Украине. В уходящем году утечки происходили в «Ростелекоме», СДЭК, «Яндекс.Еде», Wildberries, Мосгортрансе и других компаниях.
Штраф в 500 млн руб. будет значительным даже для крупной компании, говорит собеседник «Коммерсанта» в IT-отрасли. По его словам, вопросы вызывает повторное нарушение. «Злоумышленники компилируют базы, которые публикуют в Сети, и далеко не всегда их публикация означает нарушение правил хранения данных», — поясняет он.
В результате принятия закона о штрафах произойдет «дробление компаний», целью которого будет сокращение базы на случай возможных утечек, отмечает источник в одной из IT-компаний. «Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже», — отмечает источник. Однако «дробление» компании может повлечь за собой серьезные юридические и финансовые изменения, добавляет он. Поэтому организации будут оценивать сопряженные с этим риски.
