Минэкономразвития предлагает не взимать слишком большие штрафы за утечку персональных данных

Предложение ввести оборотные штрафы для компаний, допустивших утечку данных, впервые было озвучено в начале 2022 года. Однако финальная версия законопроекта до сих пор не опубликована

Минэкономразвития подготовило отзыв на законопроект об оборотных штрафах за утечку данных, пишет РБК. Предлагаемый размер штрафа до 500 млн рублей в министерстве назвали «неоправданно высоким». Увеличение штрафов в 100 и более раз требует дополнительного обоснования.

В текущей версии законопроект предлагает повысить штрафы за первую утечку персональных данных почти в 100 раз, а за последующие — ввести штраф от 0,1% до 3% от выручки. В конце июля законопроект направили главе правительства Михаилу Мишустину.

Комментирует генеральный директор компании Zecurion Алексей Раевский:

Алексей Раевский генеральный директор компании Zecurion «Пока непонятно, насколько эти штрафы влияют на уровень утечек. Иногда бывает сложно доказать, что утечка действительно произошла у этой компании, что компания не выполнила нормативы. Если штраф будет очень большой, это может привести к тому, что компания разорится, а это тоже никому не нужно — все-таки у регулятора задача не разорять компании, бизнес, которые платят налоги. Сложно сказать, что какая-то сумма будет оптимальным штрафом, но он должен быть достаточно высоким, но и не очень высоким. Имеет смысл поэтапно повышать эти штрафы и смотреть, как будет меняться ситуация. Сейчас, когда эти штрафы смехотворные, они не являются мотивацией для организаций заниматься защитой персональных данных. Надо обратиться к мировым практикам. Пока в законодательствах, если мы возьмем примеры других стран, в основном штрафы, но там вообще по-другому эта система устроена — нет каких-то рекомендаций, чтобы защищать персональные данные. У нас регулятор выпускает методические рекомендации из разряда «делай так — будет хорошо». Но возникает вопрос: если компания сделала так, как написано у регулятора, а утечка все равно произошла, что делать, кого наказывать? Компанию, с одной стороны, наказывать несправедливо. Непонятно, кто в этом случае должен нести ответственность. Если же компаниям дать большую свободу в плане определения, что и как нужно защищать, какая есть модель угроз, какие риски, тогда можно и ответственность увеличивать».

Объем утечек персональных данных россиян в 2022 году вырос в 40 раз по сравнению с 2021-м, говорилось в отчете Group-IB (сейчас — F.A.С.С.T.). В открытый доступ попала личная информация около 100 млн россиян.