В то же время новая версия законопроекта смягчает меры наказания, если компания допустила утечку впервые и самостоятельно предприняла действия по защите данных в будущем.
Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных и предусмотрело в нём ответственность для должностных лиц, сообщают «Ведомости». Для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит от 200 000 руб. до 400 000 руб. Для ИП и юрлиц — 0,02% от оборота, но не менее 1 млн руб.
Новая версия смягчает меры наказания, если компания допустила утечку впервые и самостоятельно предприняла действия по защите данных в будущем. Так, добровольный аудит систем информационной безопасности может рассматриваться «как смягчающее обстоятельство» и подтверждать меры, принятые для защиты от утечек.
В начальной редакции законопроекта предлагалось штрафовать компанию в размере 1% от годовой выручки и в размере до 3%, если она не сообщила об утечке вовремя. В последней редакции документа такой размер штрафа предусматривается только для организаций, допустивших утечку более 100 000 записей. Интересно, что в этом случае принадлежность данных должна определяться у 10 000 субъектов. Таким образом, если в утечке не идентифицировано достаточное количество субъектов персональных данных, компания штраф не получит. За утечку данных меньше 10000 записей штраф всё так же составляет от 60 000 до 100 000 руб.
Опрошенные участники рынка большей частью сходятся на том, что персональная ответственность — не совсем подходящая мера накзания. В Positive Technologies же предположили, что указанная норма вводится для чиновников и госслужащих, для которых неприменимы оборотные штрафы.
Минцифры обсудит последнюю редакцию законопроекта сегодня, 6 октября — на совещании по вопросам регулирования законодательства в области персональных данных.