Министерство цифрового развития, связи и массовых коммуникаций готовит законопроект об оборотных штрафах за утечку персональных данных, сообщает ведомство во вторник в своем Telegram-канале.
«Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей», — говорится в сообщении.
Сейчас максимальное наказание для юрлиц за утечку персональных данных — штраф 500 тысяч рублей. Оборотные штрафы, на введении которых настаивает Минцифры, будут исчисляться в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 миллиардов рублей составит 1 миллиард рублей.
В законопроекте будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании.
«Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте. Штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф», — отмечает ведомство.
Для оборотных штрафов будут установлены границы «от» и «до» какого процента от выручки можно будет взыскать. Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным.
Кроме того, Минцифры предлагает предусмотреть процедуру добровольной аккредитации компаний по критериям информационной безопасности. Ведомство допускает, что такая аккредитация может быть связана с механизмом страхования профессиональной ответственности. Аккредитации по критериям информационной безопасности может стать подтверждением мер, принятых для защиты от утечек, то есть как смягчающее обстоятельство.
Ведомство также предлагает определить, как будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с «Агентством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Оборотные штрафы и трёхступенчатая система
Как считает член Комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов РФ Ефим Казанцев, «стремление Минцифры навести порядок в сфере персональных данных вполне понятно в свете их недавних утечек». «Практика показывает, что крупные компании недостаточно серьезно относятся к обеспечению безопасности персональных данных пользователей. А мировой опыт говорит о том, что самым эффективным способом борьбы с легкомысленным отношением являются крупные оборотные штрафы. Только так можно заставить крупные компании вкладывать серьезные средства в защиту данных пользователей», — отметил он.
Однако эксперт скептическим отнесся к предложению о внедрении трехступенчатой системы наказания. По его словам, «обычно такие механизмы применяются в отношении тех субъектов, которые могли не знать о том, что совершают правонарушение». Например, в отношении граждан, занимающихся предпринимательской деятельностью без соответствующей регистрации просто потому, что они не знали о необходимости такой регистрации в силу недостатка образования и опыта.
«Но, когда речь идет о крупных компаниях, такая система просто автоматически освобождает их от наказания за первые нарушения», — сказал Казанцев. Это, по его мнению, «не будет стимулировать принятие серьезных мер по усилению безопасности, многие компании могут решить, что раз за первое правонарушение не наказывают — можно сэкономить и ничего не делать, вдруг еще долго никто не обнаружит у них никаких нарушений, даже если такие нарушения по факту произойдут».
«Для того, чтобы у компаний было время подготовиться к новым нормам, можно предусмотреть отложить момент вступления соответствующих поправок в силу, как это обычно и делается. Кроме того, если компания в целом будет привлекаться к ответственности в первый раз, а утечка будет малозначительной, можно применять положения об освобождении от административной ответственности, предусмотренные ст. 2.9 КоАП РФ», — считает член комиссии.
По материалам сайта Ассоциации юристов России