Минэк предложил отсрочить начало действие закона об оборотных штрафах за утечки

Минэкономразвития хочет тестировать оборотные штрафы за утечки персональных данных (ПДн) в экспериментальном правовом режиме (ЭПР), рассказал в понедельник, 25 ноября, в рамках дискуссии «Развитие законодательного регулирования в области информационной безопасности» в Госдуме директор департамента цифрового развития и экономики данных министерства Владимир Волошин, пишут «Ведомости». «Персональными данными пользуются сейчас все. Если мы хотим действовать аккуратно, то мы поддерживаем предложение о введении ЭПР», – заявил чиновник. Кроме того, он также предложил отсрочить вступление в силу закона об оборотных штрафах за утечки на два года.

Идею ЭПР для оборотных штрафов в ходе дискуссии выдвинул вице-президент по информбезопасности (ИБ) «Вымпелкома» Алексей Волков. Такой режим вводится для обкатки технологических или регуляторных новаций и предполагает полный или частичный отказ от исполнения обязательных требований закона, регулирующего ту или иную сферу, для тестирования новых технологий. ЭПР вводится с согласия профильного ведомства, все такие режимы курирует Минэк.

Законопроект об оборотных штрафах за утечки рассматривается Госдумой во втором чтении во вторник, 26 ноября. В январе 2024 года Госдума приняла в первом чтении соответствующие поправки к КоАП. Согласно документу, за первое нарушение, которое привело к утечке ПДн, планируется ввести штраф до 15 млн рублей, за повторное — оборотный штраф от 0,1% до 3% выручки за календарный год. В этом случае размер наказания не может быть ниже 15 млн рублей и выше 500 млн рублей.

Хотя Владимир Волошин и полагает, что законодательство уже довольно сильно устарело, а существующие максимальные штрафы в 100 000 рублей «крайне редко применяются и вряд ли кого-то могут напугать», в планируемой к рассмотрению редакции законопроекта министерство видит ряд рисков. И, по мнению чиновника, бизнес к вступлению этого закона в силу через полгода, если он будет принят уже сейчас, не готов.

В октябре «Интерфакс» писал , что Минэк предлагает снизить максимальный размер штрафа в законопроекте для юрлиц в 10 раз – с 500 млн до 50 млн рублей, а минимальный – с 15 млн до 5 млн рублей. «Анализ показал, что если бы закон был принят год назад, то его реализация привела бы к тому, что четыре из пяти компаний малого и среднего предпринимательства [оштрафованных за утечки ПДн в 2024 году] оказались на грани банкротства», – заявил Владимир Волошин «Ведомостям».

В ходе дискуссии в Госдуме чиновник также отметил, что применение новых штрафов в рамках предлагаемой конструкции может привести к существенным рискам для ряда отраслей, например для банковской сферы, маркетплейсов, медицины, видеоигр, связи, транспорта и т.д. По его словам, предприниматели из этих отраслей полагают, что из-за нехватки финансовых ресурсов, кадрового обеспечения и программных продуктов на рынке изменить процессы работы с данными за отведенное время к вступлению невозможно. Владимир Волошин считает, что это приведет к сжатию проектов, связанных с развитием рынка данных, в том числе ранее заявленных в рамках нацпроекта «Экономика данных», а также к цифровой деградации в ряде отраслей, включая отключение неиспользуемых сервисов.

Министр цифрового развития России Максут Шадаев в середине ноября говорил , что все разногласия по законопроекту сняты. Чиновник также выражал надежду, что в Госдуме вернутся к рассмотрению законопроекта до конца года. По его словам, законопроект не имеет обратной силы: штрафы будут применяться к утечкам, которые произошли после принятия закона.