ПРАВО.ru
Практика
18 августа 2023, 9:06

Бизнес просит скорректировать новеллу о штрафах за утечки данных

Срок вступления закона в силу предлагают перенести на сентябрь следующего года. Еще компании хотят, чтобы бизнес освободили от необходимости сообщать об утечке пользователям, данные которых утекли.

Ассоциация компаний интернет-торговли направила в Минфин предложения по корректировке законопроекта о введении оборотных штрафов за утечки персональных данных, пишут «Ведомости». В числе инициатив организации — применять оборотный штраф от 0,1 до 3% от годовой выручки только к тем, у кого повторно случилась утечка данных более 1 млн пользователей. Штрафовать при этом предлагается при соблюдении двух условий:

  • с помощью утекшей информации можно без дополнительных сведений идентифицировать пользователя; 
  • из-за утечки нарушены права пользователя.

Еще, по мнению ассоциации, не следует принуждать операторов персданных информировать об утечке пользователей, сведения которых утекли. Также организация предлагает сдвинуть вступление закона в силу на сентябрь 2024 года. С ее точки зрения, это требуется, чтобы Минцифры, ФСБ и ФСТЭК хватило времени определить и согласовать список дополнительных мер по обеспечению безопасности персданных при их обработке.

Кабмин в июне закончил работать над новеллой о поправках к ст. 13.11 КоАП («Нарушение персональных данных») в части увеличения санкции:

  • если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для юрлиц составит от 3 до 5 млн руб.;
  • за утечку данных 10 000–100 000 субъектов — от 5 до 10 млн руб.;
  • более 100 000 граждан — от 10 до 15 млн руб.

За повторное нарушение, если пострадали не менее тысячи человек, уже будет оборотный штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 и не более 500 млн руб. За утечки биометрических персональных данных юрлицо получит штраф от 15 до 20 млн руб. Сейчас компанию могут оштрафовать только на сумму до 300 000 руб.

Также поправки вводят обязанность компании сообщить в Роскомнадзор об утечке данных в течение 24 часов и о результатах проведенного внутреннего расследования — в течение 72 часов. Если уведомление не направили, оператора персданных могут наказать штрафом в размере от 1 до 3 млн руб.