Комплаенс / Новости 29 августа

В законопроекте об оборотных штрафах определили размер утечки

Регуляторы рассматривают возможность отказа от оборотных штрафов для бизнеса за утечки, касающиеся данных менее 10 тыс. граждан.

Компании получат оборотные штрафы, только если утечка затрагивает данные не менее 10 тыс. граждан. Такой вариант наказания обсуждает ответственная за подготовку законопроекта рабочая группа при Минцифры, передает РБК со ссылкой на источник, близкий к министерству. 

В случае если объем окажется меньше установленного значения, компания также получит штраф, но не оборотный, а фиксированный. 

С инициативой введения оборотных штрафов для компаний, допустивших утечку персональных данных, в апреле 2022 года выступил глава Минцифры Максут Шадаев. Целью разработки законопроекта, ужесточающего и усиливающего ответственность за утечки, является побуждение бизнеса инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей. Сегодня компании опасаются скорее репутационных издержек, нежели штрафа, который по текущему законодательству не может превышать 500 тыс. руб.

На начальной стадии обсуждения законопроекта предполагалось, что штраф составит до 1% от оборота, однако крупные ИТ-компании настаивали на смягчении формулировок документа. И на сегодняшний день не исключено, что регуляторы (помимо Минцифры в разработке законопроекта участвует Роскомнадзор) будут учитывать смягчающие обстоятельства. Эксперты рынка предполагают, что у компании будет возможность "снизить штраф вплоть до фиксированного значения в несколько миллионов", если выяснится, что утечка произошла не из-за нарушения требований информационной безопасности, если компания ее публично признает и будет принимать активное участие в расследовании, всячески помогая надзорным органам.

Обсуждение формулировок законопроекта продолжается, и они могут меняться. Предполагаемая дата представления законопроекта – середина сентября.