Законопроект
В середине 2022 года Минцифры подготовило новую версию законопроекта об оборотных штрафах за утечку персональных данных (его текста в свободном доступе нет).
По итогам обсуждений с отраслью Минцифры настаивает на усилении ответственности операторов персональных данных.
Основные изменения
В законе будет определено:
- что именно является объектом утечки персональных данных;
- как устанавливается вина конкретной компании.
Например, оператор мобильной связи хранит данные, содержащие номер телефона и Ф.И.О. абонента. Но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные.
В итоге установят соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте.
Штрафы будут применять в два этапа:
- За первую утечку – штраф фиксированный. Его размер зависит от объема данных, утечку которых допустила компания.
- В случае повторной утечки – оборотный штраф.
Для оборотных штрафов будут установлены границы – от и до какого процента от выручки можно взыскать.
Учтут смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это расценят как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством. И тогда положено максимальное наказание.
Предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности.
Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство.
Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые могут подтвердить выполнение всех необходимых требований.
Позиция Минцифры
Министерство настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующего законодательства.
Попав в руки к злоумышленникам, персональные данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством и в итоге причиняют еще больший ущерб гражданам.
Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей.
На 2022 год вопрос нарушений законодательства в области персональных данных регулирует ст. 13.11 КоАП РФ. Максимальное наказание, установленное в ней, предполагает штраф в 500 000 рублей для юридических лиц.
Оборотные штрафы, на введении которых настаивает Минцифры, будут исчислять в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 млрд рублей составит 1 млрд руб.
Реальный уровень информационной защиты, действующий в компаниях, определить сложно. Для этого Минцифры предлагает ввести механизм аккредитации и страхования, с помощью которого можно регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности.
Также определят, куда будут расходовать собранные штрафы. Один из вариантов – выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с Агентством по страхованию вкладов (АСВ), выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Использованы материалы: сайт Минцифры.