На штрафы за утечки персональных данных готовят скидки
Компенсации пострадавшим пока под вопросом
Тема: Пленарное заседание Госдумы 23 января 2024 года
Компаниям и ответственным сотрудникам, допустившим утечки персональных данных, могут грозить многомиллионные штрафы и уголовное наказание до десяти лет лишения свободы. Соответствующий пакет законопроектов (№№ 502104-8 и 502113-8) Госдума приняла в первом чтении 23 января. Ко второму чтению документы будут доработаны, пообещали их авторы. В частности, в ряде случаев бизнес сможет рассчитывать на смягчение наказания, а также будут обсуждаться выплаты компенсаций людям, личные данные которых попали в открытый доступ.
Люди важнее бизнеса
Поправки в Кодекс об административных правонарушениях и в Уголовный кодекс группа сенаторов и депутатов внесла 4 декабря 2023 года. За прошедшие полтора месяца Роскомнадзор зафиксировал 18 фактов утечек персональных данных, в Сеть попали 517 миллионов записей о россиянах, сообщил соавтор законопроектов, глава Комитета Госдумы по информационной политике Александр Хинштейн. Всего за прошлый год было зафиксировано 168 крупных утечек данных, а сумма уплаченных за это штрафов составила меньше пяти миллионов рублей. Это, по мнению Хинштейна, наглядный результат отсутствия адекватного наказания за такие нарушения.
«Только рублем можно понудить бизнес вкладывать деньги в информационную безопасность, — сказал депутат. — В данном случае интересы граждан важнее интересов бизнеса».
Полмиллиарда в казну
Законопроект об оборотных штрафах за утечки данных вводит прогрессивную систему санкций: чем больше размер утечки, тем выше штраф, сообщила первый зампред Комитета Госдумы по законодательству Ирина Панькина. Если в открытый доступ попадут сведения о больше чем ста тысячах человек, то раскошелиться виновным придется на сумму до 15 миллионов рублей. За повторные утечки предложили ввести оборотные штрафы от 0,1 до 3 процента годовой выручки, но не меньше 15 и не больше 500 миллионов рублей.
Штрафы не будут распространяться на госорганы, поскольку в их распоряжении находятся бюджетные деньги. При этом должностные лица будут нести ответственность, подчеркнула Панькина.
Поправки в Уголовный кодекс предусматривают введение наказания за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, которые их распространяют.
Самые значительные меры будут применять к организованным группировкам, которые совершали незаконные действия с базами данных, содержащими личные сведения, полученные незаконным путем, что повлекло тяжкие последствия. Максимальный срок за такое преступление может составить десять лет.
За что могут скостить штраф
Почти единогласно, при одном воздержавшемся депутаты приняли законопроекты в первом чтении. Ранее инициативу поддержали пользователи соцсети, подписанные на канал спикера Госдумы Вячеслава Володина. Абсолютное большинство участников устроенного им голосования высказались за увеличение штрафов за утечки персональных данных.
Без серьезной ответственности переломить ситуацию с утечками не получится, отметил Александр Хинштейн, при этом ко второму чтению документы могут быть доработаны. В частности, обсуждается возможность смягчения ответственности для компаний, то есть снижение суммы штрафа в ряде случаев. Кто и за что может рассчитывать на скидку, парламентарии будут обсуждать с представителями отрасли и экспертами. Главное, чтобы эти положения были максимально понятны, прозрачны и просты в администрировании, уверен Хинштейн.
Многомиллионные штрафы, которые будут платить виновники утечек, пойдут в бюджет, но смогут ли рассчитывать на компенсацию люди, чьи данные попали в открытый доступ? Об этом авторов поправок спросила член Комитета Госдумы по просвещению Анна Скрозникова. Механизм возмещения ущерба при разработке законопроектов обсуждался, подтвердил Александр Хинштейн, однако разработчики пока не нашли механизм, который позволит это сделать. Сложно рассчитать ущерб от конкретной утечки, еще сложнее администрировать выплаты одновременно миллионам людей.
«Если получится прописать механизм смягчения наказания путем компенсации вреда, мы такую норму предложим», — пообещал председатель IT-Комитета.
Если данные уже утекли
Рассмотреть в качестве смягчающего обстоятельства соблюдение отраслевого стандарта защиты данных предложила первый зампред Комитета Госдумы по просвещению Яна Лантратова. В настоящий момент в законе уже предусмотрена обязанность организаций обеспечивать надлежащую защиту данных, ответил коллеге Александр Хинштейн, однако и вопрос соблюдения стандарта также будет рассматриваться.
О том, что делать с персональными данными, которые уже попали в открытый доступ, и может ли ждать наказание по будущему закону тех, кто это допустил, главу IT-Комитета спросил член Комитета Госдумы по безопасности Михаил Шеремет. Один из законопроектов предусматривает уголовную ответственность за незаконный оборот криминальных персональных данных, поэтому, если такие случаи будут выявлены, виновных ждет наказание, заверил Александр Хинштейн.
Анонсировал соавтор инициатив и еще одну поправку. Ко второму чтению законопроекты скорректируют таким образом, чтобы исключить ответственность организаций за утечки, произошедшие не по их вине, например, по причине хакерских атак извне. Хинштейн обещал учесть в дальнейшей работе над документами и другие здравые предложения, которые будут поступать.
Читайте также:
• Хинштейн сообщил о подготовке законопроекта против дипфейков
Ещё материалы: Александр Хинштейн, Ирина Панькина , Анна Скрозникова , Михаил Шеремет