До 500 млн рублей за утечку данных: новый законопроект идёт по пути ужесточения наказания
От 5 млн до 500 млн рублей могут достигать штрафы за утечку персональных данных. Такое наказание появилось в новом тексте законопроекта, доработанного недавно Минцифры РФ. Об этом написал «Коммерсант», ссылаясь на неназванный источник, знакомый с заключительной версией документа. Штраф будет рассчитываться, исходя из выручки компании за календарный год, а максимальное наказание последует, если компания допустила утечку повторно и с отягчающими обстоятельствами, например, попыталась скрыть инцидент. Если закон будет принят, он вступит в силу в сентябре 2023 года.
Ранее Министр цифрового развития Максут Шадаев уже заявлял, что за несоблюдение сохранности персональных данных в новом законе предусмотрен штраф в размере до 3% от годового оборота компании. Смягчающими обстоятельствами, по его словам, будут «возмещение ущерба двум третям пострадавших от утечки», а также сертификация «всей инфраструктуры в соответствии с требованиями безопасности».
По действующему сейчас закону за попадание в сеть персональных данных клиентов компанию можно оштрафовать на сумму от 60 тыс. до 100 тыс. рублей.
Авторы закона считают, что большие штрафы будут стимулировать компании повышать уровень безопасности: «раньше было дешевле заплатить штраф, чем внедрить средства защиты, если утечка персональных данных не влечёт репутационных рисков», — объяснила в интервью «Коммерсанту» директор по консалтингу ГК InfoWatch Ирина Зиновкина.
Оценивая новую редакцию закона, эксперты согласились, что 500 млн — это значительная сумма даже для больших компаний. Но вместо того, чтобы повышать уровень безопасности, эти компании могут пойти по пути дробления бизнеса на региональные подразделения: тогда штрафы будут рассчитываться от оборота небольшого подразделения, а не всей компании.
По данным «Лаборатории Касперского», объём персональных данных, которые оказались к открытом доступе в 2022 году, превысил 1,5 млрд записей. В результате последней утечки на прошлой неделе в сети оказалось около 4 тыс. фотографий паспортов, принадлежащих водителям «Ситимобил» (компания признала инцидент). А самой масштабной утечкой года может оказаться слив персональных данных из «Яндекс.Еды»: в феврале в открытом доступе оказалась база с более чем 6,8 млн уникальных телефонных номеров. Компанию дважды оштрафовали на 60 тыс. рублей, а 13 пользователям этой службы доставки присудили компенсации в размере 5 тыс. рублей.
