Законопроект об оборотных штрафах за утечку данных внесут в Госдуму осенью

В 2023 году хакеры похитили миллионы записей о россиянах у крупных российских компаний, сетевых магазинов, банков и аптек. Люди, чьи данные попали в руки мошенников, могут стать жертвами хищений, вымогательства или шантажа. Группа сенаторов и депутатов подготовила законопроект, увеличивающий штрафы для компаний за утечку личных данных. О том, какие санкции могут ждать бизнес и станет ли хранение данных безопаснее, 21 сентября на XVI саммите по информационной безопасности BIS Summit 2023 рассказал один из авторов инициативы, председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн.

«Проект поправок в КоАП, который увеличивает ответственность бизнеса за утечку персональных данных, находится на отзыве в Правительстве. Его внесут в Госдуму в осеннюю сессию», -  сказал на пленарном заседании саммита Александр Хинштейн. По его словам, сегодня действующее законодательство устанавливает максимальную санкцию за утечку на уровне до ста тысяч рублей и не учитывает повторность нарушения. Такие смехотворные штрафы не способствуют тому, чтобы бизнес прикладывал усилия для обеспечения достаточной информационной безопасности.  «Без введения действительно серьезных санкций мы порядка тут не наведем», - сказал  депутат.   

Законопроект предусматривает штрафы для юрлиц:

За повторное нарушение компании ждут штрафы от 0,1 до 3 процентов выручки за календарный год или за часть текущего года, но не менее 15 миллионов и не более 500 миллионов рублей.

Уже много месяцев проект закона об оборотных штрафах является предметом для дискуссии властей и бизнеса. О том, что в законопроекте необходимо соблюсти баланс и учесть смягчающие обстоятельства для компаний, сказала в четверг «Парламентской газете» Наталья Касперская, Президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт»: «Какие бы меры защиты компания ни использовала, все равно риск утечки информации остается. Невозможно дать гарантии, что ее не будет». По словам Касперской, способов получить личные данные, если это решил сделать сам недобросовестный сотрудник компании, множество — он может скачать ее определенным способом или просто быть администратором с повышенными правами. Смягчающими обстоятельствами могло бы быть то, что компания приняла все необходимые усилия для обеспечения информационной безопасности или сама выявила и наказала нарушителя.   

Вопрос о смягчающих обстоятельствах тоже должен быть решен, но именно о смягчающих, а не ликвидирующих ответственность, отметил Александр Хинштейн. «Я надеюсь, что нам удастся рассмотреть этот законопроект уже в период осенней сессии».

Депутат напомнил, что сейчас оператор персональных данных также должен незамедлительно уведомить об утечке Роскомнадзор, в противном случае его тоже ждет административная ответственность.