Минцифры предлагает ввести оборотные штрафы за утечки персональных данных в компаниях в диапазоне от 5 млн до 500 млн рублей. Штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. В случае принятия инициатива должны вступить в силу в сентябре 2023 года, сообщает ИА PrimaMedia со ссылкой на "Коммерсант" (16+).
"Верхний потолок" предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например, попыталась скрыть инцидент.
Глава Минцифры Максут Шадаев на заседании думской фракции КПРФ 14 декабря заявил, что министерство предлагает ввести штрафы для компаний за утечку персональных данных в размере до 3% от оборота, соответствующий законопроект сейчас обсуждается с представителями IT-отрасли. Сейчас максимальный штраф для бизнеса за утечку данных составляет 500 тысяч рублей.
Ранее эксперт Kaspersky Threat Intelligence Юлия Новикова отмечала в комментарии РИА Новости (16+), что в 2022 году утечки данных достигли небывалого масштаба. Суммарный объем персональных данных россиян, попавших в этом году в открытый доступ, превысил 1,5 млрд записей.
Установление крупных штрафов призвано повысить уровень обеспечения безопасности обработки персональных данных, "раньше было дешевле заплатить штраф, чем внедрить средства защиты, если утечка персональных данных не влечет репутационных рисков", говорит директор по консалтингу ГК InfoWatch Ирина Зиновкина.
Инициатива стимулирует компании "провести ревизию того, что необходимо сделать в части защиты данных, и, возможно, где-то усилить меры безопасности", считает исполнительный директор "Кросс технолоджис" Лев Фисенко.
Сумма 500 млн рублей в случае максимальной ответственности компании будет значительной даже для крупной компании, говорит собеседник “Ъ” в IT-отрасли. У него вызывает вопросы понятие повторности нарушения: "Злоумышленники компилируют базы, которые публикуют в сети, и далеко не всегда их публикация означает нарушение правил хранения данных".