Минэк предложил уменьшить оборотные штрафы за утечки персональных данных
Минэкономразвития предложило уменьшить оборотные штрафы для компаний за утечки персональных данных, так как предлагаемый размер наказания является «неоправданно высоким». Об этом говорится в отзыве министерства, направленном в правительство и Минюст (копия есть у РБК). В нем отмечается, что увеличение штрафов в 100 и более раз требует дополнительного обоснования.
В конце июля сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Александр Хинштейн направили главе правительства Михаилу Мишустину законопроект, в котором предложили увеличить оборотные штрафы за утечки персональных данных. Согласно документу, если утечка касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб. За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн и не более 500 млн руб.
Из отзыва Минэка следует, что в текущей версии проекта отзыва правительства на законопроект, который готовит Минюст в адрес авторов инициативы, говорится, что размеры штрафов следует оценить на предмет возможности их исполнения. Кроме того, в отзыве предлагается:
- обосновать предложение не дифференцировать в зависимости от степени вреда размер штрафа за утечки персональных данных специальной категории и биометрических данных;
- пересмотреть предложение ввести для индивидуальных предпринимателей такую же административную ответственность, как для юрлиц;
- предусмотреть возможность смягчения административной ответственности для компаний, добровольно выплативших компенсации пострадавшим от утечек, и др.
Представитель Минэкономразвития сообщил РБК, что ведомство предоставило свои рекомендации по законопроекту в Минфин. «Мнение бизнеса, в том числе и АКИТ (Ассоциации компаний интернет-торговли, среди ее членов Wildberries, Ozon, «Яндекс.Маркет», Lamoda, «Ситилинк» и др. — РБК), учтено в части компетенции министерства», — сказал он. Представители Минюста и правительства сообщили, что сейчас проект официального отзыва на законопроект проходит процедуру межведомственного согласования.
Ранее АКИТ направила в Минфин предложения по изменениям в обсуждаемый законопроект. По версии бизнеса, оборотные штрафы должны применяться только к тем операторам, которые повторно допустили утечку данных более 1 млн пользователей; штрафы должны назначаться только в случаях, если слитые в Сеть данные позволяют без использования дополнительной информации идентифицировать пользователя, а сама утечка повлекла нарушение прав пользователя; операторы персональных данных не должны сообщать об утечке пользователям, а только уведомлять о ней Роскомнадзор; и срок вступления закона в силу необходимо перенести на сентябрь 2024 года.
Президент АКИТ Артем Соколов заявил РБК, что в текущей редакции законопроекта размеры штрафов необоснованно высокие: «Они несоразмерны степени и размеру вреда, они несопоставимы даже со штрафами за нарушения, связанные с непосредственной угрозой жизни и здоровью людей; сами формулировки проекта могут привести к прецеденту безвиновной ответственности для операторов персональных данных».
Соколов отметил, что у них также есть замечания к определениям терминов и процедуре уведомления. Например, сейчас закон «О персональных данных» не обязывает оператора уведомлять граждан об утечках, то есть обсуждаемый законопроект вводит ответственность за не предусмотренную законом обязанность. Кроме того, нет определенности, какая форма уведомления будет считаться надежной, на какие сроки ориентироваться, не учитываются те случаи, когда сам человек размещает в свободном доступе свои данные, заключил Соколов.
Какие споры вызвал законопроект
Предложение ввести оборотные штрафы для компаний, допустивших утечку персональных данных, впервые озвучил глава Минцифры Максут Шадаев в апреле прошлого года. В конце 2022-го он говорил, что законопроект готов, и пояснял, что при назначении штрафа будут учитываться смягчающие обстоятельства — например, если компания возместила ущерб двум третям пострадавших или продемонстрировала, что инвестировала дополнительные средства в инфраструктуру для обеспечения безопасности. Тем не менее финальная версия законопроекта до сих пор официально не представлена. В той версии, которую авторы инициативы отправили в правительство, смягчающие обстоятельства не упоминаются.
Представители компаний, которые работают с персональными данными, неоднократно критиковали законопроект. Российский союз промышленников и предпринимателей заявлял, что введение высоких оборотных штрафов приведет к сокращению инвестиций в информационную безопасность вместо ожидаемого их повышения, а также к возможности роста риска банкротства компаний. В начале августа Ассоциация больших данных (АБД), куда входят «Яндекс», VK, «Ростелеком», «МегаФон», Сбербанк, Тинькофф Банк и др., направила в аппарат правительства, Минцифры, Минэкономики и Минюст письмо, в котором указала, что иногда под видом новых утечек в свободном доступе публикуются компиляции из данных, которые были раскрыты самостоятельно их владельцами, и что для таких случаев необходимо предусмотреть оговорки в законопроекте.