ПОД/ФТ / Новости 12 июля

Минцифры РФ: при назначении оборотных штрафов за утечку персональных данных будут учитываться смягчающие обстоятельства и критичность данных

Минцифры России в новой версии законопроекта об оборотных штрафах за утечку персональных данных установит соразмерность величины штрафа и критичности попавших в незаконный оборот данных, а также будет учитывать смягчающие и отягчающие обстоятельства при назначении наказания, сообщили в пресс-службе ведомства.

По информации Минцифры, в новой версии проекта закона, которая готовится по итогам обсуждений с представителями отрасли, "будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте". Оборотные штрафы предлагается применять в случае повторной утечки данных.

"За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф", — отмечается в сообщении.

Для оборотных штрафов будут установлены границы ("от" и "до" какого процента от выручки можно будет взыскать), а также "будут учитываться смягчающие и отягчающие обстоятельства". "Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным", — пояснили в министерстве.

Одновременно будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. "Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но "утечь" такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают "склейки" из разных баз, выдавая их за утекшие из конкретных компаний данные", — пояснили в Минцифры.

Также будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности, говорится в сообщении. "Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований", — рассказали в Минцифры.

Ведомство настаивает на усилении ответственности за утечки персональных данных. По его мнению, дополнительная ответственность в виде оборотных штрафов "побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей".

В министерстве предлагают рассмотреть возможность создания специального фонда, куда будут собираться взысканные штрафы. "Может быть создан специальный фонд, который будет действовать по аналогии с "Агентством по страхованию вкладов", выплачивающим возмещения вкладчикам банков при наступлении страховых случаев", — сообщили в Минцифры.

Сейчас максимальное наказание за утечку персональных данных составляет штраф в размере 500 тыс. рублей для юрлиц.

7 июля глава ИТ-Комитета Госдумы Александр Хинштейн сообщил "Интерфаксу", что Минцифры РФ разрабатывает законопроект, предусматривающий уголовную ответственность для бизнеса за тяжкие последствия утечек персональных данных. "Тяжкие последствия — это если гражданин после того, как эти персональные данные утекли, например, скончался или стал инвалидом", — уточнил глава комитета. По словам Хинштейна, законопроект предусматривает и административную ответственность. Для должностных лиц штраф может составить от 500 до 700 тыс. рублей. Для юрлиц и ИП — 1% от совокупной выручки за год.

Внесение инициативы в Госдуму ожидается в осеннюю сессию, уточнил глава профильного комитета.

В конце мая глава Роскомнадзора Андрей Липов сообщал, что возглавляемое им ведомство приняло участие в разработке законопроекта о введении уголовной ответственности за продажу украденных персональных данных.