Оборотные штрафы за утечки данных составят от 5 млн рублей до 500 млн рублей. Соответствующий законопроект доработало Минцифры, пишет газета «Коммерсантъ» со ссылкой на источники.
Верхний предел штрафа предусматривается для случаев, когда компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора — к примеру, попыталась скрыть инцидент.
Собеседники газеты пояснили, что штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. В случае принятия инициатива должна вступить в силу в сентябре 2023 года.
Участники рынка опасаются, что инициатива в случае принятия доработанного законопроекта Минцифры о штрафах может привести к дроблению российского бизнеса, чтобы уменьшить облагаемые штрафом доходы. Говорит директор московского офиса компании CPO Group Лариса Науменко:
Лариса Науменко директор московского офиса компании CPO Group «У нас в действительности крупные компании, которые, несмотря на большие утечки данных, платят незначительные штрафы и, кроме репутационных рисков, никаких более рисков не несут. Но, мне кажется, эти штрафы все равно должны быть не направлены на то, чтобы бизнес существенно финансово пострадал. Крупные компании имеют различные ресурсы, финансовые и административные возможности сделать так, чтобы заплатить эти штрафы все равно в минимальном объеме. Та же история с дроблением. Неоднократно мы сталкивались с ситуацией, когда компания специально, не владельцы активов, а управляющие компаний, у них нет активов, и они могут быть брошены даже с неуплаченными штрафами. Таким образом, выстраиваются бизнес-процессы, когда или туда ставятся номинальные участники и руководители, или в случае неблагоприятных последствий оперативно меняются органы управления на лица, которым в принципе наличие или отсутствие штрафов ничем не грозит, с них нечего взять, они не боятся ни репутационных, никаких еще рисков. И эти компании бросаются, никто не горит желанием, даже если 3% от оборота, платить штраф в 500 млн рублей».
В середине декабря глава Минцифры Максут Шадаев говорил, что за несоблюдение сохранности персональных данных предусмотрен штраф в размере до 3% от годового оборота компании. По его словам, смягчающими обстоятельствами будет «возмещение ущерба двум третям пострадавших от утечки», а также сертификация «всей инфраструктуры в соответствии с требованиями безопасности». Комментирует генеральный директор Finn Flare Ксения Рясова:
— Мы как защищали персональные данные, так и защищаем. Наверное, сейчас нам придется задуматься об еще одной ступени защиты, но, я думаю, даже это касается скорее не нас, а более крупных компаний, которые являются целью хакерских атак. Бывают такие хакерские группы, которым противостоять практически невозможно, и они будут попадать под эти штрафы.
— 5 млн рублей даже по нижней планке — это же огромные деньги.
— Да, это огромные деньги, то есть теперь мы понимаем, что нам надо инвестировать в защиту персональных данных гораздо больше. То есть сумму как минимум в 5 млн рублей мы должны проинвестировать для того, чтобы ограничить себя от этих штрафов. Вот все, что услышал бизнес, — тестируйте защиту.
— Что думаете по поводу дробления?
— Я не думаю об этом вообще. Я думаю, что проще инвестировать деньги в еще одну ступень защиты.
Ужесточить наказание власти решили после утечек в нескольких крупных компаниях и сервисах весной этого года. Тогда в Сеть попала, в частности, персональная информация пользователей «Яндекс.Еды», Delivery Club и клиентов СДЭК. Среди последних инцидентов — утечки из подведомственного Роскомнадзору Главного радиочастотного центра и службы заказа такси «Ситимобил». По данным «Лаборатории Касперского», объем персональных данных, которые в этом году попали в Сеть в результате самых крупных утечек, превысил 1,5 млрд записей.
