Снижение штрафов за утечки персональных данных, которые пока ещё не утверждены, является необоснованным и приведёт к тому, что инициатива утратит свою эффективность. Такую точку зрения высказали разработчики законопроекта, устанавливающего санкции до 500 миллионов рублей за инциденты, связанные с утечками личных данных. В то же время представители бизнеса предлагают ввести смягчающие обстоятельства, которые позволят избежать штрафов или значительно их уменьшить. Как сообщает “Парламентская газета”, обсуждения продолжаются.
С начала 2024 года в публичном доступе оказалось около полумиллиарда записей, содержащих персональные данные россиян, сообщил изданию глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он является соавтором законопроекта, который вводит серьёзные штрафные санкции, включая оборотные штрафы, зависящие от выручки компаний, допустивших утечку данных. Документ был принят в первом чтении в декабре, и в настоящее время ведётся работа над поправками. Одной из таких поправок стало предложение Минэкономразвития, основанное на консультациях с бизнес-сообществом.
Ведомство предложило снизить размер штрафов для юридических лиц по сравнению с изначальными положениями законопроекта: в два раза – до 1,5-2 миллионов рублей, если утечка затронула от одной до десяти тысяч пользователей; в три раза – до 3-5 миллионов рублей, если пострадало более ста тысяч субъектов персональных данных. Однако предложено сохранить оборотные штрафы за повторные утечки в том же диапазоне – от 0,1 до 3 процентов от выручки или капитала кредитной организации, но с уменьшением максимальной суммы штрафа до 50 миллионов рублей.
Эти предложения будут обсуждаться, но “смягчение необоснованно и выхолащивает саму суть инициативы”, заявил Александр Хинштейн. По его словам, “без осознания оператором своей ответственности и понимания того, что за утечки придётся заплатить, никаких кардинальных перемен не произойдёт”.
Крупные операторы персональных данных с самого начала критиковали законопроект, указывая на слишком высокие штрафы, как рассказала “Парламентской газете” первый зампред Комитета Совета Федерации по конституционному законодательству Ирина Рукавишникова. Однако она согласилась с Хинштейном, что именно высокие штрафы должны стимулировать компании инвестировать в информационную безопасность. Александр Хинштейн добавил, что, если штрафы будут слишком низкими, “компаниям станет дешевле откупаться, чем вкладываться в создание инфраструктуры информационной безопасности”.
Помимо снижения штрафов, в Минэкономразвития предложили предусмотреть смягчающие ответственность компаний обстоятельства. Например, высокие расходы на безопасность – минимум 0,1 процента выручки. В “Ассоциации больших данных” (АБД) подтвердили изданию, что подобные предложения обсуждаются и поддерживаются крупными операторами. В АБД полагают, что законопроект должен уточнять состав правонарушений.
Кроме того, в АБД предложили другие меры по смягчению ответственности компаний, направленные на “стимулирование бизнеса усиливать защиту данных и мотивировать инвестировать в безопасность, а не просто закладывать штрафы в бюджет”.
По оценкам, в России более пяти миллионов юридических лиц и индивидуальных предпринимателей являются операторами персональных данных. В Комитете Госдумы по информационной политике уверены, что не все компании могут самостоятельно обеспечить защиту данных, особенно в условиях кибервойны. Одним из предложений стало создание специальных доверенных операторов, которые смогут хранить данные компаний, неспособных обеспечить их защиту.
О создании профессиональных операторов данных заявил и член Совета по правам человека Игорь Ашманов. Он добавил, что доступ к этим данным будет ограничен, а другие компании смогут запрашивать информацию при необходимости.
Вопрос о том, будут ли поправки о “супероператорах” включены в законопроект о штрафах за утечки, пока остаётся открытым. Однако Александр Хинштейн надеется, что закон будет принят до конца 2024 года.