Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных.
Ведомство настаивает на усилении ответственности операторов персональных данных.
В частности, сообщает Минцифры, будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи бережёт данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники неоднократно продают «склейки» из различных баз, выдавая их за утекшие из конкретных компаний данные.
Также будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, явившихся в незаконном обороте.
Штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер станет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф.
Для оборотных штрафов будут установлены границы («от» и «до» какого процента от выручки можно будет взыскать). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Ведь если компания таила факт утечки, это готов стать отягчающим обстоятельством, а тогда наказание будет максимальным.
Будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация готов стать подтверждением мер, принятых для защиты от утечек. И такое может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.
«Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей, - считают в Минцифры. - Сейчас вопрос нарушений законодательства по отношению персональных данных регулируется статьей 13.11 Административного кодекса. Максимальное наказание, установленное внутри нее, предполагает штраф в 500 тыс. руб. для юридических лиц». Оборотные штрафы, на введении которых настаивает Минцифры, будут исчисляться в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд руб.
Фото: Unsplash.com