Закон, который ужесточает и вводит новые наказания за утечку персональных данных, вступает в силу 30 мая. Согласно нововведению, компаниям грозят штрафы до 15 миллионов рублей при первом нарушении и до 3 процентов от суммы выручки — при повторном. Максимальный размер штрафа за повторную утечку данных составляет 500 миллионов рублей. Но Министерство цифрового развития, связи и массовых коммуникаций совместно с заинтересованными органами и организациями обсуждает предложения бизнеса о мероприятиях информационной безопасности, которые стоит учитывать как смягчающие обстоятельства, сообщили «Парламентской газете» в пресс-службе Минцифры.
Большие утечки — большие штрафы
В октябре прошлого года экс-глава информационного комитета Госдумы Александр Хинштейн (ныне врио губернатора Курской области) заявил, что с персональными данными в России работают более пяти миллионов юридических лиц, включая индивидуальных предпринимателей. Увы, не все они уделяют должное внимание информационной безопасности. По данным Роскомнадзора, в 2024 году зафиксировано 135 случаев утечки баз данных, в которых содержалось более 710 миллионов записей о россиянах.
Вступающий 30 мая в силу закон ужесточает и вводит новые наказания за утечку персональных данных. Размер штрафа зависит от объема утечки. Если неправомерная передача приватных сведений затронула от 1 до 10 тысяч граждан, штраф для физлиц составит от 100 до 200 тысяч рублей, для должностных — от 200 до 400 тысяч и от 3 до 5 миллионов заплатят организации и ИП. За утечку информации, которая затронула от 10 до 100 тысяч человек санкции для физлиц увеличатся — от 200 до 300 тысяч рублей, для должностных — от 300 до 500 тысяч, организаций и ИП — от 5 до 10 миллионов. А нарушения, затрагивающее данные более 100 тысяч людей, для физлиц обернутся потерей от 300 до 400 тысяч рублей, для должностных — от 400 до 600 тысяч и от 10 до 15 миллионов рублей — для организаций и ИП.
За повторные нарушения провинившихся накажут оборотными штрафами — до 3 процентов от дохода, но не менее 20 миллионов рублей.
Особое наказание предусмотрено за распространение персональных данных несовершеннолетних: штраф может достигать 700 тысяч рублей либо в размере дохода за два года, либо принудительные работы на срок до пяти лет, либо лишение свободы на тот же срок.
Если преступление совершено из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф составит до одного миллиона рублей либо в размере дохода за три года, срок принудительных работ — до пяти лет, срок лишения свободы — до шести лет. При трансграничной утечке персональных данных лишить свободы могут на восемь лет, а если преступление повлекло тяжкие последствия — до десяти лет.
Возможно смягчение
Без суровых штрафных санкций для тех, по чьей вине происходят утечки, не обойтись, сказал «Парламентской газете» первый зампредседателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин. Наличие четких штрафных санкций, по мнению сенатора, должно уменьшить масштаб таких утечек и обеспечить создание безопасного цифрового пространства для наших граждан.
Но и стричь всех под одну гребенку нельзя. Имеет смысл дифференцировать степень вины при вынесении вердикта: одно дело, когда провинившаяся компания старательно вкладывает деньги в защиту данных, и другое дело, если вопросам безопасности внимания совсем не уделяет.
Как пояснили «Парламентской газете» в Минцифры, вместе с заинтересованными органами и организациями сегодня обсуждают предложения бизнеса о перечне мероприятий информационной безопасности, которые можно было бы учитывать как смягчающие обстоятельства при утечке данных.
«Мы открыты для обсуждения и предложений. Однако говорить о конкретных деталях и мероприятиях еще рано. При этом напомним, что финальное решение о том, что учитывать в качестве обстоятельств для смягчения штрафа, принимают суды», — уточнили в пресс-службе.
Между тем в СМИ появились сообщения, что в обсуждении возможных смягчающих условий участвуют Федеральная служба по техническому и экспортному контролю, ФСБ и участники отрасли информационной безопасности.