Бизнес могут обязать платить за повторные утечки данных до 1-3% от выручки

В новой версии проекта поправок в КоАП, предусматривающих штрафы для бизнеса, допустившего повторную утечку данных, нижний порог взыскания может быть увеличен с 0,1% до 1% от годовой выручки, пишет Forbes со ссылкой на документ.

Бизнес могут обязать платить за повторные утечки данных до 1-3% от выручки
© Frank Media

При этом в новой версии прописаны смягчающие обстоятельства, если компания инвестирует не менее 0,1% выручки в мероприятия информбезопасности (ИБ) на протяжении хотя бы трех лет. В тексте указано, что нужно также иметь лицензию Федеральной службы безопасности на разработку систем с использованием криптографии или привлечь организацию, обладающую такой лицензией.

Также появилась ответственность за обработку биометрических данных для организаций, не получивших аккредитацию от Минцифры, — от 500 000 рублей до 1 млн рублей.

Если сравнивать текст с версией, внесенной в конце 2023 года и принятой в первом чтении, то в новой уменьшились размеры штрафов для должностных лиц с 3-5 млн рублей до 1,1-1,2 млн рублей. Причем указано, что под действие законопроекта подпадают также должностные лица государственных или муниципальных органов и некоммерческих организаций. Размеры штрафов для юрлиц выросли с 0,1-3% до 1-3% от годовой выручки.

Принятие законопроекта об оборотных штрафах осложнит и без того нелегкую участь бизнеса, считает директор юридического департамента DRC Ольга Захарова. «Пропорциональность соотношения риска и ответственности закономерно вызывает вопросы: не совсем понятно, за счет каких доходов, к примеру, должностное лицо может выплатить штраф в размере 1,5 млн рублей за утечку. Как известно, про утечки говорят не «если», а «когда» они произойдут», — рассуждает она.

Сейчас эти поправки готовятся ко второму чтению. В первом чтении законопроект был принят 23 января этого года. В Минцифры Forbes заявили, что итоговая версия документа еще обсуждается. «Ожидаем, что принятие документа станет стимулом для IT-компаний более тщательно соблюдать требования информационной безопасности, вкладываться в защиту данных, в том числе персональных», — добавили в министерстве.