Минэкономразвития предложило кратное снижение планируемых штрафов за утечки персональных данных
Минэкономразвития РФ подготовило поправки ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных, предложив кратное снижение заложенных в нем штрафов, а также смягчающие вину компаний обстоятельства, сообщил "Интерфаксу" источник, знакомый с инициативой министерства.
Законопроект (№502104-8) об ужесточении ответственности за
утечки персданных был принят Госдумой в первом чтении в январе 2024 года. Он
предусматривает внесение поправок в КоАП. Представители бизнеса и профильных
ассоциаций неоднократно заявляли о необходимости снижения размеров штрафов,
содержащихся в законопроекте.
Минэкономразвития предложило следующее снижение штрафов:
если утечка затронет 1-10 тыс. субъектов персданных, установить штраф для юрлиц
в размере 1,5-2 млн рублей (сейчас в законопроекте — от 3 до 5 млн рублей);
10-100 тыс. субъектов — от 2 млн до 3 млн рублей (сейчас в законопроекте — 5-10
млн).
За утечку персданных более 100 тыс. субъектов штраф для
юрлиц предлагается установить в размере от 3 млн до 5 млн рублей (сейчас в
законопроекте — от 10 до 15 млн рублей), отмечает "Интерфакс".
Оборотные штрафы за повторные утечки предлагается сохранить
в прежнем объеме (от 0,1% до 3% от выручки за предшествующий утечке год либо
размера капитала кредитной организации на дату инцидента). Но максимальный
размер штрафа за рецидив предлагается снизить в 10 раз — до 50 млн с 500 млн
рублей в принятом в первом чтении законопроекте, а минимальный — до 5 млн
рублей с 15 млн рублей.
Кроме того, Минэкономразвития предложило выделить в
законопроекте ответственность за утечку биометрических данных и персональных
данных специальной категории (данные о расовой, национальной принадлежности, состоянии
здоровья, религиозных убеждениях и др.).
Так, за утечку биометрических персональных данных,
затронувшую 0,5-5 тыс. субъектов персданных, на юридических лиц предлагается
накладывать штраф в размере от 3 млн до 5 млн рублей; от 5 тыс. до 50 тыс. субъектов
— от 5 млн до 7 млн рублей.; более 50 тыс. субъектов персданных — от 7 млн до
10 млн рублей.
За утечку персданных специальной категории, затронувшую
0,5-5 тыс. субъектов, предлагается установить штраф для юрлиц в размере 2-3 млн
рублей; за утечку специальной категории персданных 5-50 тыс. субъектов — от 3
млн до 5 млн рублей; более 50 тыс. субъектов — от 5 млн до 7 млн рублей.
Повторная утечка биометрических и специальных персданных
может повлечь оборотный штраф в размере от 0,1% до 3% от выручки за
предшествующий календарный год, либо капитала банка на дату утечки, но не менее
10 млн рублей и не более 60 млн рублей.
При этом на малый и средний бизнес, а также социально
ориентированные некоммерческие организации, допустившие утечку персданных, предлагается
накладывать штрафы в размерах, предусмотренных для должностных лиц (они ниже,
чем для юридических). По мнению Минэкономразвития, заложенные сейчас в
законопроекте штрафы создают риски приостановления и прекращения деятельности
МСП в случае привлечения к административной ответственности за утечки.
ИНВЕСТИЦИИ В БУДУЩУЮ СКИДКУ
В законопроекте также предлагается предусмотреть смягчающие
ответственность компаний обстоятельства.
Таким обстоятельством, в частности, предлагается считать
расходы оператора персданных в течение предшествующего года на мероприятия по
обеспечению информационной безопасности, проведенные с привлечением
организаций, специализирующихся на кибербезопасности, либо самостоятельно при
условии наличия соответствующей лицензии. Размер этих расходов должен
составлять минимум 0,1% от выручки компании или капитала банка.
Как рассказал источник "Интерфакса",
Минэкономразвития по итогам обсуждения законопроекта с представителями
различных отраслей экономики выделило ряд рисков для бизнеса в случае принятия
законопроекта в существующем виде.
Так, заложенные сейчас в законопроекте штрафы несут риск
существенной финансовой нагрузки на бизнес, что неизбежно повлияет на тарифы
для конечных потребителей. Кроме того, для компаний, реализующих национальные и
федеральные проекты в сфере цифровой трансформации, а также организаций,
которым необходимо осуществить импортозамещение средств защиты информации и
другого ПО, будет затруднительно совокупное исполнение положений законопроекта
и указанных мероприятий.
Кроме того, министерство считает недопустимым то, что,
согласно законопроекту, операторы ПД привлекаются к ответственности за утечку
даже при правомерном поведении. В министерстве опасаются, что в условиях
неотвратимости наказания может возрасти количество кибератак в целях
недобросовестной конкуренции и вымогательства.