В Государственную Думу был внесён законопроект об оборотных штрафах за утечки данных в конце 2023 года.
Согласно этому законопроекту, юридические лица могут столкнуться с оборотными штрафами в размере от 0,1% до 3% совокупной выручки от реализации всех товаров и услуг за предыдущий календарный год в случае, если это повторная утечка данных более 1000 человек. Законопроект был принят в первом чтении в январе 2024 года.
22 апреля этого года Администрация президента выразила своё несогласие с предложенными изменениями в законодательстве о штрафах за утечку данных. По мнению Администрации президента, компенсацию пострадавшим должен назначать лишь суд. В законе нужно четко определить состав правонарушения и внести определение идентификатора размера утечки в закон о персональных данных, а не в КоАП. Этот вопрос стал актуальным из-за роста числа нарушений конфиденциальности и утечек личной информации граждан.
Представители крупного бизнеса и профильных ассоциаций ожидают, что данные меры всё же будут включены в финальную версию законопроекта.
Разработчики поправок предполагали, что компании могут рассчитывать на смягчение наказания, если руководство выделяет 0,1% оборота на кибербезопасность, выплачивает компенсации пострадавшим и соблюдает закон о персональных данных. В этом случае компания может получить минимальное наказание.
Помимо этого, отмечается неясность в определении состава правонарушения. В настоящее время оно описывается как «действие или бездействие лица, которое привело к неправомерной передаче информации».
Правительство согласовало ко второму чтению версию поправок к Уголовному кодексу, ужесточающих ответственность за утечки персональных данных. Однако Министерство внутренних дел выступило за смягчение наказания. Информация об этом содержится в материалах к заседанию правительственной комиссии по законопроектной деятельности, состоявшемуся накануне.
Изменения в документе после первого чтения незначительны. Незаконное использование, передача или сбор персональных данных, полученных неправомерным путём, согласно документу, будет наказываться штрафом до 300 тысяч рублей или принудительными работами, а также лишением свободы на срок до четырёх лет. Если же информация содержала специальные категории персональных данных, то срок лишения свободы увеличивается до пяти лет.
Ассоциация больших данных ("АБД", в состав которой входят МТС, Сбер, Яндекс и другие компании) полагает, что привлечение к ответственности компаний, «невиновных в утечке», является неприемлемым. АБД предлагает разработать чёткий состав правонарушений и список смягчающих обстоятельств для стимулирования инвестиций компаний в информационную безопасность. Также отмечается, что механизм компенсации пострадавшим от утечек вызывает вопросы в отношении администрирования и связан с рисками злоупотреблений.
В Министерстве цифрового развития сообщили, что поправки всё ещё обсуждаются с другими ведомствами, и окончательный вариант законопроекта ещё не утверждён. Глава комитета Государственной Думы по информационной политике, Александр Хинштейн, заявил, что некоторые изменения в законопроект всё же будут внесены. Тем временем представители администрации президента не предоставили комментариев по этому вопросу.
В заключение, можно отметить, что обсуждение изменений в законодательстве Российской Федерации о штрафах за утечку данных вызывает разногласия между Администрацией президента и представителями крупного бизнеса. Важно учитывать не только интересы компаний, но и защиту прав потребителей и личных данных граждан. Стремление к соблюдению законов о персональных данных и кибербезопасности должно быть приоритетом для всех сторон. Необходимо найти баланс между наказанием за нарушения и стимулированием инвестиций в информационную безопасность. Окончательное решение по этому вопросу пока не принято, и дальнейшее обсуждение изменений в законодательстве будет продолжено.
