Минэкономразвития предложило кратно сократить штрафы за утечки персональных данных
Москва. 14 октября. INTERFAX.RU - Минэкономразвития подготовило предложения к поправкам ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных, предложив кратное снижение заложенных в нем штрафов, а также смягчающие вину компаний обстоятельства, сообщил "Интерфаксу" источник, знакомый с инициативой министерства.
Законопроект № 502104-8 об ужесточении ответственности за утечки персданных был принят Госдумой в первом чтении в январе 2024 года. Он предусматривает внесение поправок в КоАП. Представители бизнеса и профильных ассоциаций неоднократно заявляли о необходимости снижения размеров штрафов, содержащихся в законопроекте.
Минэкономразвития предложило следующее снижение штрафов: если утечка затронет 1-10 тыс. субъектов персданных, установить штраф для юрлиц в размере 1,5-2 млн рублей (сейчас в законопроекте - от 3 до 5 млн рублей); 10-100 тыс. субъектов - от 2 млн до 3 млн рублей (сейчас в законопроекте - 5-10 млн).
За утечку персданных более 100 тыс. субъектов штраф для юрлиц предлагается установить в размере от 3 млн до 5 млн рублей (сейчас в законопроекте - от 10 до 15 млн рублей).
Оборотные штрафы за повторные утечки предлагается сохранить в прежнем объеме (от 0,1% до 3% от выручки за предшествующий утечке год либо размера капитала кредитной организации на дату инцидента). Но максимальный размер штрафа за рецидив предлагается снизить в 10 раз - до 50 млн с 500 млн рублей в принятом в первом чтении законопроекте, а минимальный - до 5 млн рублей с 15 млн рублей.
Кроме того, Минэкономразвития предложило выделить в законопроекте ответственность за утечку биометрических данных и персональных данных специальной категории (данные о расовой, национальной принадлежности, состоянии здоровья, религиозных убеждениях и др.).
Так, за утечку биометрических персональных данных, затронувшую 0,5-5 тысяч субъектов персданных, на юридических лиц предлагается накладывать штраф в размере от 3 млн до 5 млн рублей; от 5 тысяч до 50 тысяч субъектов - от 5 млн до 7 млн рублей.; более 50 тысяч субъектов персданных - от 7 млн до 10 млн рублей.
За утечку персданных специальной категории, затронувшую 0,5-5 тысяч субъектов, предлагается установить штраф для юрлиц в размере 2-3 млн рублей; за утечку специальной категории персданных 5-50 тысяч субъектов - от 3 млн до 5 млн рублей; более 50 тысяч субъектов - от 5 млн до 7 млн рублей.
Повторная утечка биометрических и специальных персданных может повлечь оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год, либо капитала банка на дату утечки, но не менее 10 млн рублей и не более 60 млн рублей.
При этом на малый и средний бизнес, а также социально ориентированные некоммерческие организации, допустившие утечку персданных, предлагается накладывать штрафы в размерах, предусмотренных для должностных лиц (они ниже, чем для юридических). По мнению Минэкономразвития, заложенные сейчас в законопроекте штрафы создают риски приостановления и прекращения деятельности МСП в случае привлечения к административной ответственности за утечки.
В законопроекте также предлагается предусмотреть смягчающие ответственность компаний обстоятельства.
Таким обстоятельством, в частности, предлагается считать расходы оператора персданных в течение предшествующего года на мероприятия по обеспечению информационной безопасности, проведенные с привлечением организаций, специализирующихся на кибербезопасности, либо самостоятельно при условии наличия соответствующей лицензии. Размер этих расходов должен составлять минимум 0,1% от выручки компании или капитала банка.
Как рассказал источник "Интерфакса", Минэкономразвития после обсуждения законопроекта с представителями различных отраслей экономики выделило ряд рисков для бизнеса в случае принятия законопроекта в существующем виде.
Так, заложенные сейчас в законопроекте штрафы несут риск существенной финансовой нагрузки на бизнес, что неизбежно повлияет на тарифы для конечных потребителей. Кроме того, для компаний, реализующих национальные и федеральные проекты в сфере цифровой трансформации, а также организаций, которым необходимо осуществить импортозамещение средств защиты информации и другого ПО, будет затруднительно совокупное исполнение положений законопроекта и указанных мероприятий.
Кроме того, министерство считает недопустимым то, что, согласно законопроекту, операторы ПД привлекаются к ответственности за утечку даже при правомерном поведении. В министерстве опасаются, что в условиях неотвратимости наказания может возрасти количество кибератак в целях недобросовестной конкуренции и вымогательства.