Минэк может получить контроль над механизмом оборотных штрафов за утечки данных
Минэкономразвития хочет тестировать оборотные штрафы за утечки персональных данных (ПДн) в экспериментальном правовом режиме (ЭПР), рассказал директор департамента цифрового развития и экономики данных министерства Владимир Волошин. Об этом сообщили "Ведомости" и Frank Media.
"Персональными данными пользуются сейчас все. Если мы хотим действовать аккуратно, то мы поддерживаем предложение о введении ЭПР", — заявил чиновник. Кроме того, он также предложил отсрочить вступление в силу закона об оборотных штрафах за утечки на два года.
Идею ЭПР для оборотных штрафов в ходе дискуссии выдвинул вице-президент по информбезопасности (ИБ) "Вымпелкома" Алексей Волков. Такой режим вводится для обкатки технологических или регуляторных новаций и предполагает полный или частичный отказ от исполнения обязательных требований закона, регулирующего ту или иную сферу, для тестирования новых технологий. ЭПР вводится с согласия профильного ведомства, все такие режимы курирует Минэк.
Законопроект об оборотных штрафах за утечки рассматривается Госдумой во втором чтении во вторник, 26 ноября. В январе 2024 года Госдума приняла в первом чтении соответствующие поправки к КоАП. Согласно документу, за первое нарушение, которое привело к утечке ПДн, планируется ввести штраф до 15 млн рублей, за повторное — оборотный штраф от 0,1% до 3% выручки за календарный год. В этом случае размер наказания не может быть ниже 15 млн рублей и выше 500 млн рублей.
Хотя Владимир Волошин и полагает, что законодательство уже довольно сильно устарело, а существующие максимальные штрафы в 100 000 рублей «крайне редко применяются и вряд ли кого-то могут напугать», в планируемой к рассмотрению редакции законопроекта министерство видит ряд рисков. И, по мнению чиновника, бизнес к вступлению этого закона в силу через полгода, если он будет принят уже сейчас, не готов.
В октябре "Интерфакс" писал, что Минэк предлагает снизить максимальный размер штрафа в законопроекте для юрлиц в 10 раз – с 500 млн до 50 млн рублей, а минимальный – с 15 млн до 5 млн рублей. "Анализ показал, что если бы закон был принят год назад, то его реализация привела бы к тому, что четыре из пяти компаний малого и среднего предпринимательства (оштрафованных за утечки ПДн в 2024 году — ред.) оказались на грани банкротства", – заявил Владимир Волошин "Ведомостям".
В ходе дискуссии в Госдуме чиновник также отметил, что применение новых штрафов в рамках предлагаемой конструкции может привести к существенным рискам для ряда отраслей, например, для банковской сферы, маркетплейсов, медицины, видеоигр, связи, транспорта и т.д. По его словам, предприниматели из этих отраслей полагают, что из-за нехватки финансовых ресурсов, кадрового обеспечения и программных продуктов на рынке изменить процессы работы с данными за отведенное время к вступлению невозможно.
Владимир Волошин считает, что это приведет к сжатию проектов, связанных с развитием рынка данных, в том числе ранее заявленных в рамках нацпроекта "Экономика данных", а также к цифровой деградации в ряде отраслей, включая отключение неиспользуемых сервисов.
Министр цифрового развития России Максут Шадаев в середине ноября говорил, что все разногласия по законопроекту сняты. Чиновник также выражал надежду, что в Госдуме вернутся к рассмотрению законопроекта до конца года. По его словам, законопроект не имеет обратной силы: штрафы будут применяться к утечкам, которые произошли после принятия закона.