Эксперты по-разному оценивают данную инициативу: кто-то считает, что это заставит компании серьёзно относиться к безопасности пользовательских данных, кто-то прогнозирует их «дробление» с целью сократить базу в случае возможных утечек — и это повлечёт серьезные юридические и финансовые изменения.
Минцифры предложило ввести оборотный штраф для компаний за утечки персональных данных в диапазоне от 5 млн до 500 млн руб., такое предложение содержится в разработанных министерством законопроекте, пишет «Ъ» со ссылкой на источники.
По его словам, «верхний потолок» в 500 млн руб. будет применяться в случае, если компания допустит повторную утечку данных и попытается скрыть инцидент. В остальных случаях штраф предполагается рассчитывать исходя из размера выручки компании за календарный год. Если Госдума примет законопроект, он вступит в силу 1 сентября 2023 года.
В начале декабря президент России Владимир Путин потребовал ужесточить ответственность за утечку персональных данных граждан. 14 декабря глава Минцифры Максут Шадаев, выступая в Госдуме, предложил установить штрафы в размере 3% от оборота компании. «Вплоть до 3% сейчас предусмотрено в случае, если компания не обеспечивает сохранность данных. Сейчас обсуждаем его с представителями IT-отрасли», — отметил министр.
При этом он допускал «смягчающие обстоятельства»: если компания согласится компенсировать ущерб пострадавшим гражданам или если компания «аттестовала и сертифицировала всю свою инфраструктуру».
Штраф в 500 млн руб. будет значительным даже для крупной компании, говорит собеседник «Коммерсанта» в IT-отрасли. По его словам, вопросы вызывает повторное нарушение. «Злоумышленники компилируют базы, которые публикуют в Сети, и далеко не всегда их публикация означает нарушение правил хранения данных», — поясняет он.
В результате принятия закона о штрафах произойдет «дробление компаний», целью которого будет сокращение базы на случай возможных утечек, отмечает источник в одной из IT-компаний. «Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже», — отмечает источник. Однако «дробление» компании может повлечь за собой серьезные юридические и финансовые изменения, добавляет он. Поэтому организации будут оценивать сопряженные с этим риски.
«Как же будет работать система оборотных штрафов для госорганов и НКО, у которых никакой выручки может и не быть, но утечки бывают еще и посерьезней чем у коммерческих компаний — это большой вопрос, на который нет ответа», – рассуждает глава юридической практики «Роскомсвободы» Саркис Дарбинян.
В то же время, он считает, что штрафы надо поднимать:
«Так как 60к рублей для компании вроде Яндекса или Почты России — это ни о чём, но куда лучшим решением является формирование судебной практики по более адекватной гражданско-правовой ответственности оператора перед самими пользователями, а не то, что мы видели по ситуации с Яндекс.Едой с компенсаций а несколько тысяч рублей после многих месяцев судебных разбирательств».
По данным «Сетевых свобод», 2022 год стал рекордным по количеству и объему утечек персональных данных россиян — всего было 60 случаев за неполные 12 месяцев. В 2022 году утечки в том числе происходили в Мосгортрансе, «Ростелекоме», Wildberries, СДЭК, «Яндекс.Еде», «Сбере», «Госуслугах», «Московской электронной школе», «Гемотесте» и других компаниях. Эксперты связывают это в том числе с началом войны в Украине.