Закон о штрафах за утечку персональных данных могут внести в Госдуму уже в январе
С компаний, допустивших такую утечку, предлагают взыскивать до трех процентов от годового оборота
Штрафы для юрлиц, не уследивших за персональными данными своих пользователей, предложено установить в размере трех процентов от оборота компании. Об этом 14 декабря заявил глава Министерства цифрового развития, связи и массовых коммуникаций Максут Шадаев на заседании думской фракции КПРФ. «Парламентская газета» узнала, чем еще грозит IT-гигантам резонансный закон об оборотных штрафах и при каких обстоятельствах будет назначаться максимальное — вплоть до подведения под банкротство — наказание.
Механизм сдерживания
Максут Шадаев сообщил в Госдуме, что соответствующий законопроект о введении штрафов для компаний за утечку персональных данных в размере до 3% от оборота сейчас обсуждается с представителями IT-отрасли. Слова министра цитирует РИА Новости. Он убежден, что «более серьезные штрафы заставят IT-компании инвестировать значительно больше средств в свою безопасность. А еще — активнее работать над устранением последствий возможных утечек».
Вместе с тем, по словам Шадаева, Минцифры предлагает учитывать и смягчающие обстоятельства для компаний. «Если компания как бы аттестовала и сертифицировала всю свою инфраструктуру, соответствуя усиленным требованиям безопасности, в добровольном режиме продемонстрировала, что инвестиции в средства защиты сделаны, — отметил глава Минцифры. — Второе — компания будет компенсировать ущерб тем гражданам, чьи данные утекли. Если две трети граждан, соответственно, урегулировано компанией в досудебном порядке, компенсировано».
Напомним, о необходимости серьезно ужесточить наказание за утечку персональных данных впервые заговорили около двух лет назад. В мае этого года сенатор Андрей Клишас написал в своем телеграм-канале, что «негативных последствий и угроз от подобных «сливов» может быть больше, чем даже от утечки некоторых сведений под грифом «Секретно».
За минувшее время законодательные подходы к защите персональных данных не раз менялись. Так, в частности, в какой-то момент Минцифры предлагало увеличивать штрафы лишь в том случае, если в Сеть попали данные более чем тысячи человек. Однако в итоге в качестве наиболее действенной и эффективной меры борьбы были выбраны штрафы в размере нескольких процентов от годового дохода компании, допустившей утечку.
Вместе с тем, как сообщил «Парламентской газете» первый заместитель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Ющенко, предлагаемая система наказаний все равно требует понимания ряда нюансов.
«Одна из основных задач — сделать так, чтобы компании не занимались продажей и незаконным распространением персональных данных целенаправленно, — отметил парламентарий. — Потому что мы все прекрасно понимаем, что персональные данные — и особенно биометрия — это рынок, по объемам циркулирующих в нем средств сопоставимый, наверное, с нефтяным. И для обычных людей он представляет реальную угрозу: одно дело спам-звонки и рассылки, что неприятно, но не смертельно, и совсем другое — простор для мошеннических действий и схем. Поэтому если компания сама передает куда-то персональные данные пользователей, ее нужно наказывать как можно жестче вплоть до подведения под банкротство. Именно из этих соображений и была в итоге выбрана максимальная сумма штрафа в три процента от оборота».
Умысла нет — ответственность есть
С другой стороны, по словам Ющенко, нужно учитывать, что обвинение в утечке персональных данных может быть предъявлено компании как по факту этой самой утечки, так и с целью определенного воздействия, например со стороны правоохранительных органов, особенно если компания ведет успешный бизнес. Поэтому каждый случай, безусловно, должен сначала тщательно расследоваться, во-первых, чтобы исключить вероятность такого вот давления, а во-вторых, для того, чтобы установить степень ответственности самой компании. Как именно это будет делаться — уже вопрос технической реализации. По нему парламентарии ждут предложений Минцифры — 20 декабря они должны поступить на обсуждение.
Читайте также:
• Персональным данным прописали удаление
«Но нужно понимать, что, даже если компания и не имела никакого злого умысла, она все равно виновата: она не обеспечила безопасность персональных данных и должна понести ответственность, — подчеркнул Ющенко. — Другое дело, что в этом случае максимальное наказание — штраф в три процента от оборота — применять уже будет нецелесообразно. Поэтому будет применяться некая шкала штрафных санкций, как в Уголовном кодексе, где за одно и то же преступление в зависимости от наличия отягчающих или смягчающих обстоятельств может назначаться более или менее суровое наказание».
Скорее всего, в полном и законченном виде законопроект могут внести в Госдуму в январе следующего года. А до этого парламентарии хотят детально ознакомиться с новой редакцией законопроекта о биометрии, который тесно сплетен с законом об оборотных штрафах.
«Проект закона о биометрии — ранее он, если помните, вызвал большой общественный резонанс — за последнее время подвергся существенным корректировкам; в частности, его объем увеличился со 114 до 140 страниц, — заключил Александр Ющенко. — Сначала, я думаю, нужно детально рассмотреть и одобрить его, потому что он фиксирует понятие персональных биометрических данных, механизм их сбора и хранения, ответственность за их утечку, добровольность — это самое главное — их сдачи и так далее».