Минцифры хочет сделать штрафы за утечку личной информации соразмерными объему данных
Ведомство готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных
МОСКВА, 12 июля. /ТАСС/. Минцифры предлагает сделать штрафы за утечку персональных данных соразмерными объему попавшей в сеть информации, следует из предлагаемой министерством новой версии законопроекта об оборотных штрафах для компаний за утечку персональных данных.
"Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных <...>. Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте", - сообщается в Telegram-канале Минцифры.
Также, согласно предлагаемым изменениям, будет определено, что именно является объектом утечки личных данных и порядок установления вины конкретной организации, допустившей утечку. "Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но "утечь" такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают "склейки" из разных баз, выдавая их за утекшие из конкретных компаний данные", - пояснили в Минцифры.
Штрафы предлагается применять в два этапа. За первый случай утечки они будут фиксированными, в прямой зависимости от объема данных, попавших в сеть. В случае повторной утечки будет применен оборотный штраф.
Для оборотных штрафов министерством также предлагается установить границы "от" и "до" какого процента от выручки можно будет взыскать". В этом процесс будут учитываться различные - смягчающие и отягчающие - обстоятельства. "Если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным", - предупредили в министерстве.
Кроме того, Минцифры предлагает ввести процедуру добровольной аккредитации компаний по критериям информационной безопасности. "Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство", - сообщили в Минцифры, не исключив, что аккредитация может быть связана с механизмом страхования профответственности. Для ее реализации потребуется проведение регулярных аудитов компаниями, которые смогут подтвердить выполнение всех необходимых требований к информационной безопасности, отметили там.
О разработке законопроекта
В апреле 2022 года глава Минцифры Максут Шадаев в ходе выступления на расширенном заседании комитета Госдумы по информационной политике, информационным технологиям и связи сообщил о предложении министерства ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных.
О том, что оборотные штрафы для компаний за утечку персональных данных могут ввести до конца этого года, в мае сообщил директор департамента обеспечения кибербезопасности Минцифры РФ Владимир Бенгин. Для должностных лиц штраф может составить от 500 до 700 тыс. рублей, для юрлиц и индивидуальных предпринимателей - 1% от совокупной выручки за год, но не менее 3 млн рублей.
В конце мая "Коммерсантъ" со ссылкой на источник сообщил, что Минцифры согласовало законопроект - он предполагает не только введение оборотного штрафа в 1% от годового оборота компании, но и его увеличение до 3%, если компания попытается скрыть инцидент и не сообщит о нем в течение суток.
По информации газеты, разработка законопроекта ускорилась из-за утечек данных курьеров и клиентов компаний "Яндекс.Еда" и Delivery Club. Также 1 июня служба безопасности образовательной платформы Geekbrains обнаружила утечку данных о приобретенных курсах, сообщали ТАСС в пресс-службе сервиса.