Минцифры предлагает сделать штрафы за утечку персональных данных соразмерными объему попавшей в сеть информации, следует из предлагаемой министерством новой версии законопроекта об оборотных штрафах для компаний за утечку персональных данных.
«Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных . Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте», — сообщается в Telegram-канале Минцифры.
Также, согласно предлагаемым изменениям, будет определено, что именно является объектом утечки личных данных и порядок установления вины конкретной организации, допустившей утечку. «Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но "утечь" такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают "склейки" из разных баз, выдавая их за утекшие из конкретных компаний данные», — пояснили в Минцифры.
Штрафы предлагается применять в два этапа. За первый случай утечки они будут фиксированными, в прямой зависимости от объема данных, попавших в сеть. В случае повторной утечки будет применен оборотный штраф, сообщает ТАСС.
Для оборотных штрафов министерством также предлагается установить границы «от» и «до» какого процента от выручки можно будет взыскать. В этом процесс будут учитываться различные (смягчающие и отягчающие) обстоятельства. «Если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным», — предупредили в министерстве.
Кроме того, Минцифры предлагает ввести процедуру добровольной аккредитации компаний по критериям информационной безопасности. «Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство», — сообщили в Минцифры, не исключив, что аккредитация может быть связана с механизмом страхования профответственности. Для ее реализации потребуется проведение регулярных аудитов компаниями, которые смогут подтвердить выполнение всех необходимых требований к информационной безопасности, отметили там.
В апреле 2022 г. глава Минцифры Максут Шадаев в ходе выступления на расширенном заседании комитета Госдумы по информационной политике, информационным технологиям и связи сообщил о предложении министерства ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных.
О том, что оборотные штрафы для компаний за утечку персональных данных могут ввести до конца этого года, в мае сообщил директор департамента обеспечения кибербезопасности Минцифры РФ Владимир Бенгин. Для должностных лиц штраф может составить от 500 до 700 тыс. р., для юрлиц и индивидуальных предпринимателей — 1% от совокупной выручки за год, но не менее 3 млн р.
В конце мая Коммерсантъ со ссылкой на источник сообщил, что Минцифры согласовало законопроект — он предполагает не только введение оборотного штрафа в 1% от годового оборота компании, но и его увеличение до 3%, если компания попытается скрыть инцидент и не сообщит о нем в течение суток.