Компенсации пострадавшим от утечек персональных данных не вошли в законопроект об оборотных штрафах — Шадаев

Законопроект (№502104-8) об ужесточении ответственности за утечки персональных данных был принят Госдумой в первом чтении в январе 2024 года. Сейчас готовятся поправки ко второму чтению законопроекта, отмечает "Интерфакс".

Ранее Минцифры и правительство РФ предлагали включить в законопроект механизм компенсаций пострадавшим от утечек и учитывать такие выплаты в качестве смягчающего вину обстоятельства для компании, допустившей утечку.

"Нет, пока компенсацию сняли с рассмотрения. (...) Но мы договорились, что мы посмотрим на более позднем этапе. Да, страхования (киберрисков) тоже нет. Пока позиция такая, что от одного до трёх процентов от оборота штраф, если не применялись смягчающие обстоятельства. Если применялись, то штраф может быть меньше", — сказал Шадаев на межотраслевой конференции "Безопасность клиента на первом месте".

Так министр ответил на вопрос, планируется ли в рамках законопроекта об оборотных штрафах за повторную утечку персональных данных вводить в качестве смягчающих обстоятельств компенсацию пострадавшим от утечки, а также механизм страхования компаний от киберрисков. Он вновь выразил надежду, что законопроект будет рассмотрен в Госдуме до конца года.

В качестве смягчающего обстоятельства предлагается оставить только вложения компаний в отечественные решения по кибербезопасности, уточнил Шадаев.

"Последняя дискуссия (на площадке Госдумы) у нас — это, собственно, определиться, как и в каком объеме компания должна подтверждать свои затраты на российские кибербез-решения. Для того, чтобы в случае, если возникнет (повторная утечка данных), можно было рассматривать это как смягчающее обстоятельство, что компания реально вкладывала, инвестировала, заботилась о повышении защищённости своей инфраструктуры, своих ресурсов", — сказал Шадаев.

Министр уточнил, что закон не будет иметь обратной силы, и все утечки с момента его вступления в силу будут рассматриваться как первые.

"Компании должны быть заинтересованы в защите персональных данных (клиентов). Фактически сейчас мы вынуждены формулировать условия, когда компании будут выбирать: либо много платить оборотный штраф, либо вкладывать в систему кибербезопасности, защищенность данных своих клиентов, инфраструктуру и так далее", — подчеркнул Шадаев.

Как ранее сообщал "Интерфакс", Минэкономразвития РФ подготовило поправки ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных, предложив кратное снижение заложенных в нем штрафов, а также смягчающие вину компаний обстоятельства. Источник, знакомый с проектом, говорил, что оборотные штрафы за повторную утечку (1-3% от выручки) в поправках сохранены, но максимальный размер штрафа за рецидив предлагается снизить в 10 раз — до 50 млн с 500 млн рублей.

Ранее представители бизнеса и профильных ассоциаций неоднократно заявляли о необходимости снижения размеров штрафов, содержащихся в принятом в первом чтении законопроекте.

Сейчас он, в частности, предусматривает, что если утечка коснется от 1 тыс. до 10 тыс. субъектов персональных данных, то штраф для юридических лиц составит от 3 до 5 млн рублей; от 10 тыс. до 100 тыс. субъектов — от 5 до 10 млн рублей; более 100 тыс. — от 10 до 15 млн рублей.

За повторные утечки предлагаются штрафы для граждан в размере от 400 тыс. до 600 тыс. рублей, для должностных лиц — от 2 млн до 4 млн рублей, в отношении юридических лиц предусматривается оборотный штраф — от 0,1% до 3% выручки за календарный год, но не менее 15 млн рублей и не более 500 млн рублей.