Минцифры РФ продолжает дорабатывать законопроект об оборотных штрафах за утечки данных. В новой версии ведомство предлагает штрафовать не только организации, но и должностных лиц, по вине которых случился инцидент информационной безопасности.
Согласно представленному проекту закона об оборотных штрафах за утечки информации, руководители организаций получат штраф от 200 до 400 тыс. рублей, если из их сетей утекли личные данные от 10 до 100 тыс. граждан. За аналогичный инцидент кибербезопасности штраф для индивидуальных предпринимателей и юридических лиц составит 0,02% от годового оборота компании, но не менее 1 млн. рублей.
В разработанном Минцифры РФ проекте закона также предложено ввести штраф в размере 1% от годовой выручки (вплоть до 3%), если организация несвоевременно или вовсе не стала сообщать в контролирующие органы информацию об утечке данных граждан. Столь крупные штрафы предусматриваются для компаний, из сетей которых утекло более 100 тыс. записей с личными данными россиян.
Представитель министерства подчеркнул, что наложение оборотных штрафов на компании будет возможным только в тех случаях, когда утечка базы данных размером от 10 до 100 тыс. записей позволяет установить принадлежность этой конфиденциальной информации не менее чем к 1000 конкретным субъектам персональных данных, а в ситуации, когда объем утечки составляет более 100 тыс. записей, то не менее чем к 10 тыс. субъектам ПДн.
За утечки баз данных, внутри которых нет возможности идентифицировать более 1000 субъектов ПДн, соответственно, штрафы на провинившиеся компании налагаться не будут. При этом в министерстве не уточнили, кто и какими средствам будет выполнять проверку данных 1000-10000 субъектов ПДн.
По словам экспертов отрасли, введение персональной ответственности за утечки персональных данных вполне может привести к тому, что ответственные руководители компаний и отдельных подразделений вынуждены будут реализовать требуемые меры по защите информации, но, одновременно с этим, даже такая ответственность не устранит проблемы с защитой персональных данных в организациях, где предусмотрено течение давно выстроенных бизнес-процессов, которые даже высшее руководство не имеют возможности изменить или внести в них корректировки в течение ближайшего времени.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.
