Минэкономразвития предложило кратное снижение планируемых штрафов за утечки персональных данных

Законопроект (№502104-8) об ужесточении ответственности за утечки персданных был принят Госдумой в первом чтении в январе 2024 года. Он предусматривает внесение поправок в КоАП. Представители бизнеса и профильных ассоциаций неоднократно заявляли о необходимости снижения размеров штрафов, содержащихся в законопроекте.

Минэкономразвития предложило следующее снижение штрафов: если утечка затронет 1-10 тыс. субъектов персданных, установить штраф для юрлиц в размере 1,5-2 млн рублей (сейчас в законопроекте — от 3 до 5 млн рублей); 10-100 тыс. субъектов — от 2 млн до 3 млн рублей (сейчас в законопроекте — 5-10 млн).

За утечку персданных более 100 тыс. субъектов штраф для юрлиц предлагается установить в размере от 3 млн до 5 млн рублей (сейчас в законопроекте — от 10 до 15 млн рублей), отмечает "Интерфакс".

Оборотные штрафы за повторные утечки предлагается сохранить в прежнем объеме (от 0,1% до 3% от выручки за предшествующий утечке год либо размера капитала кредитной организации на дату инцидента). Но максимальный размер штрафа за рецидив предлагается снизить в 10 раз — до 50 млн с 500 млн рублей в принятом в первом чтении законопроекте, а минимальный — до 5 млн рублей с 15 млн рублей.

Кроме того, Минэкономразвития предложило выделить в законопроекте ответственность за утечку биометрических данных и персональных данных специальной категории (данные о расовой, национальной принадлежности, состоянии здоровья, религиозных убеждениях и др.).

Так, за утечку биометрических персональных данных, затронувшую 0,5-5 тыс. субъектов персданных, на юридических лиц предлагается накладывать штраф в размере от 3 млн до 5 млн рублей; от 5 тыс. до 50 тыс. субъектов — от 5 млн до 7 млн рублей.; более 50 тыс. субъектов персданных — от 7 млн до 10 млн рублей.

За утечку персданных специальной категории, затронувшую 0,5-5 тыс. субъектов, предлагается установить штраф для юрлиц в размере 2-3 млн рублей; за утечку специальной категории персданных 5-50 тыс. субъектов — от 3 млн до 5 млн рублей; более 50 тыс. субъектов — от 5 млн до 7 млн рублей.

Повторная утечка биометрических и специальных персданных может повлечь оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год, либо капитала банка на дату утечки, но не менее 10 млн рублей и не более 60 млн рублей.

При этом на малый и средний бизнес, а также социально ориентированные некоммерческие организации, допустившие утечку персданных, предлагается накладывать штрафы в размерах, предусмотренных для должностных лиц (они ниже, чем для юридических). По мнению Минэкономразвития, заложенные сейчас в законопроекте штрафы создают риски приостановления и прекращения деятельности МСП в случае привлечения к административной ответственности за утечки.

ИНВЕСТИЦИИ В БУДУЩУЮ СКИДКУ

В законопроекте также предлагается предусмотреть смягчающие ответственность компаний обстоятельства.

Таким обстоятельством, в частности, предлагается считать расходы оператора персданных в течение предшествующего года на мероприятия по обеспечению информационной безопасности, проведенные с привлечением организаций, специализирующихся на кибербезопасности, либо самостоятельно при условии наличия соответствующей лицензии. Размер этих расходов должен составлять минимум 0,1% от выручки компании или капитала банка.

Как рассказал источник "Интерфакса", Минэкономразвития по итогам обсуждения законопроекта с представителями различных отраслей экономики выделило ряд рисков для бизнеса в случае принятия законопроекта в существующем виде.

Так, заложенные сейчас в законопроекте штрафы несут риск существенной финансовой нагрузки на бизнес, что неизбежно повлияет на тарифы для конечных потребителей. Кроме того, для компаний, реализующих национальные и федеральные проекты в сфере цифровой трансформации, а также организаций, которым необходимо осуществить импортозамещение средств защиты информации и другого ПО, будет затруднительно совокупное исполнение положений законопроекта и указанных мероприятий.

Кроме того, министерство считает недопустимым то, что, согласно законопроекту, операторы ПД привлекаются к ответственности за утечку даже при правомерном поведении. В министерстве опасаются, что в условиях неотвратимости наказания может возрасти количество кибератак в целях недобросовестной конкуренции и вымогательства.