Минцифры планирует ввести штрафы до 500 миллионов рублей за утечки данных

Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях, сообщает «Коммерсантъ» со ссылкой на источники. Текущая версия предусматривает штраф от 5 миллионов до 500 миллионов рублей. Если проект примут, он вступит в силу в сентябре 2023 года.

Источник «Ъ», знакомый с заключительной версией документа, объяснил, что «верхний потолок» будет применяться к компаниям, которые повторно допустили утечку данных и нарушили требования регулятора, например попыткой скрыть инцидент. В рамках диапазона штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент.

Ранее особое внимание на проблему утечек персональных данных обращал глава Минцифры Максут Шадаев.

«Минцифры подготовило законопроект об оборотных штрафах, там достаточно серьезные штрафы — до 3% от оборота предусмотрены в случае, если компания не обеспечила сохранность данных», — заявлял министр на встрече с президиумом фракции партии КПРФ в Госдуме 14 декабря.

По его словам, смягчающими обстоятельствами будут «возмещение ущерба двум третям пострадавших от утечки» и «аттестация и сертификация всей инфраструктуры в соответствии с требованиями безопасности».

Таким образом чиновники планируют заставить компании повысить уровень обеспечения безопасности обработки персональных данных. Ведь «раньше было дешевле заплатить штраф, чем внедрить средства защиты, если утечка персональных данных не влечёт репутационных рисков», говорит директор по консалтингу ГК InfoWatch Ирина Зиновкина.

А некоторые эксперты уже задаются вопросом, будут ли государственные организации облагаться такими же штрафами.

«Инциденты с утечками баз данных возникают и у них, будут ли налагаться аналогичные штрафные санкции и каким образом они будут рассчитываться, если у некоммерческих организаций нет оборотных средств и, соответственно, выручки?», — говорит исполнительный директор «Кросс технолоджис» Лев Фисенко.

Один из источников «Ъ» в IT-отрасли прогнозирует «дробление компаний» с целью избежать крупных штрафов, но отмечает риски, связанные с серьёзными юридическими и финансовыми изменениями.

«Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от неё был ниже», — объяснил он.

Ещё летом «Ъ» писала, что Минцифры рассчитывает создать фонд компенсации для пострадавших от утечек информации. Его планировали пополнять от штрафования провинившихся компаний.

А недавно бизнес попросил у Минцифры разрешение на использование пиратского ПО, если лицензию невозможно купить. Стоит отметить, что это не соотвествует требованиям безопасности, и, таким образом, в случае разрешения эти компании рискуют стать будущими жертвами утечек.