Что не так с ответственностью бизнеса за утечки данных
Минцифры предложило в качестве смягчающего обстоятельства при утечках персональных данных учитывать добровольные выплаты компанией компенсаций пострадавшим, рассказал глава министерства Максут Шадаев. Согласно версии законопроекта об оборотных штрафах, которая проходит финальные согласования перед внесением в Госдуму, для организации выплат будет использован портал «Госуслуги». Однако бизнес опасается, что компании будут нести ответственность за сам факт утечки, даже если она сделала все, чтобы ее не допустить.
Компенсация
Глава Минцифры Максут Шадаев на конференции «Телеком: трансформация бизнес-моделей и поиск новых решений», организованной газетой «Ведомости», рассказал о том, какие меры позволят бизнесу уменьшить размер штрафов за утечку персональных данных. По словам министра, законопроект об оборотных штрафах за утечки персональных данных находится в финальной стадии разработки и уже через несколько недель может быть внесен в Госдуму. В новой версии документа решено отказаться от ранее обсуждавшейся идеи создания фонда помощи пострадавшим от утечки их персональной информации. Вместо этого Минцифры предложило использовать портал «Госуслуги».
Так, в новой версии законопроекта указано, что если утечка будет подтверждена компанией, ее допустившей, то у нее будет некоторое время для того, чтобы пострадавшие могли через «Госуслуги» запросить у нее компенсацию, рассказал Максут Шадаев. В случае, если две трети из обратившихся согласятся с предложенной компанией суммой и получат компенсацию, это будет учитываться в качестве смягчающего обстоятельства. В этом случае может быть применен пониженный коэффициент при определении размера оборотного штрафа для компании, допустившей утечку, пояснил министр.
«Законопроект дорабатывается совместными усилиями. Был ряд вопросов, по которым у нас была разная точка зрения, — сообщил Forbes глава комитета по информполитике Госдумы Александр Хинштейн. — Но сейчас по большинству из них консенсус найден».
Напомним, что вопрос введения оборотных штрафов за утечку персональных данных разрабатывается с весны 2022 года. О необходимости такого регулирования заявлял президент Владимир Путин на заседании Совета по развитию гражданского общества и правам человека 7 декабря 2022 года. По его итогам правительству было поручено до 1 июля 2023 года подготовить соответствующие изменения в законодательство.
В декабре 2022 года в актуальной на тот момент версии законопроекта были предусмотрены штрафы в диапазоне от 5 млн до 500 млн рублей. Причем в документе был оговорен фиксированный размер штрафа при первой утечке персональной информации компании, тогда как размер повторного штрафа уже зависел бы от оборота компании. «Верхний потолок» был предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например, попыталась скрыть инцидент.