Закон об оборотных штрафах за утечку данных могут принять до конца года

Снижение штрафов за утечки персональных данных, которые к тому же до сих пор не приняты, необоснованно и сделает саму инициативу бесполезной, считают разработчики законопроекта, устанавливающего санкции до 500 миллионов рублей за инциденты с личными данными людей. Бизнес, в свою очередь, настаивает на введении смягчающих обстоятельств, которые позволят избежать штрафа или снизить его размер. «Парламентская газета» узнала подробности.

Закон об оборотных штрафах за утечку данных могут принять до конца года
© Парламентская газета

Кому скидку

С начала 2024 года достоянием общественности уже стали полмиллиарда записей, касающихся россиян, сообщил нашему изданию глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он соавтор законопроекта, вводящего серьезные, в том числе оборотные, то есть зависящие от выручки, штрафы для компаний, допустивших утечки персональных данных. Документ приняли в первом чтении в декабре, а сейчас работают над поправками. В частности, были опубликованы предложения Минэкономразвития, основанные на консультациях с представителями бизнес-сообщества.

Ведомство предложило снизить штрафы для юрлиц относительно тех, что прописаны в законопроекте: вдвое — до 1,5-2 миллионов рублей, если утечка затронула от одной до десяти тысяч пользователей; втрое — до 3-5 миллионов рублей, если пострадали больше ста тысяч субъектов персональных данных. Оборотные штрафы за повторные утечки предложили сохранить в прежнем объеме, от 0,1 до 3 процентов от выручки либо размера капитала кредитной организации на дату инцидента, но максимальный размер выплаты снизить в десять раз — до 50 миллионов.

Предложение будет обсуждаться, но такое смягчение «необоснованно и выхолащивает саму суть инициативы», считает Александр Хинштейн. «Без осознания оператором своей ответственности и понимания того, что ему придется платить рублем за утечки, никаких кардинальных перемен не произойдет», — отметил депутат.

Бюджет на штрафы

Крупные операторы персональных данных с первого дня критиковали законопроект, указывая на слишком высокие суммы штрафов, отметила в беседе с «Парламентской газетой» первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Ирина Рукавишникова. Она согласилась с главой думского IT-комитета: высокие штрафы должны мотивировать компании вкладываться в информационную безопасность. Александр Хинштейн в свою очередь сказал, что если штрафы станут относительно низкими, то компаниям будет «дешевле откупаться, чем строить свою инфраструктуру информационной безопасности».

Помимо снижения штрафов, в Минэкономразвития предложили предусмотреть смягчающие ответственность компаний обстоятельства. Например, высокие расходы на безопасность — минимум 0,1 процента выручки. В «Ассоциации больших данных» (АБД) нашему изданию подтвердили наличие таких предложений и их поддержку крупными операторами. Там считают, что в законопроекте нужно конкретизировать состав правонарушения.

АБД предложила и другие направления доработки смягчающих вину компаний обстоятельств, которые будут «стимулировать бизнес к усилению мер по защите данных и мотивировать инвестировать в обеспечение безопасности, а не просто закладывать бюджеты на штрафы».

Где зависли поправки

Операторами персональных данных в России являются больше пяти миллионов юрлиц и индивидуальных предпринимателей. В думском IT-комитете уверены, что далеко не все из них способны защитить информацию, особенно в условиях кибервойны. Там предложили решение: создать доверенных специальных операторов, которые смогут хранить данные тех, кто не может самостоятельно обеспечить их безопасность. «Аналогия та же, что и банковское хранилище: если у тебя на дверях нет замков, не держи деньги дома. Понадобились? Банк всегда открыт», — объяснил суть технологии Александр Хинштейн.

Проработку создания в России профессиональных операторов данных нашему изданию подтвердил член президентского Совета по правам человека Игорь Ашманов. Доступ к этому хранилищу, по его словам, будет иметь ограниченный круг лиц, а другие компании смогут запрашивать оттуда сведения, если понадобится.

Будут ли вносить поправки о «супероператорах» в законопроект о штрафах за утечки, пока неизвестно. Однако Александр Хинштейн надеется на принятие документа до конца 2024 года.