23 января Госдума приняла в первом чтении пакет поправок, которые усиливают административную и уголовную ответственность за утечки персональных данных. Дата их рассмотрения во втором чтении пока неизвестна.
Поправки к ст. 13.11 КоАП повышают действующие сейчас штрафы за нарушения в сфере персональных данных. Например, если произошла утечка данных от 1000 до 10 000 граждан, то штраф для юрлиц составит от 3 до 5 млн руб., за утечку данных 10 000–100 000 субъектов бизнес заплатит от 5 до 10 млн руб., а если речь идет об информации в отношении более 100 000 граждан — от 10 до 15 млн руб. За повторные утечки бизнесу могут грозить крупные оборотные штрафы: от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб.
Второй законопроект предлагает ввести уголовную ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, и за создание распространяющих их ресурсов. Минимальное наказание за это преступление — штраф в размере 300 000 руб., а максимальное — лишение свободы на срок до десяти лет, если есть тяжкие последствия.
Власти давно собирались ужесточить наказание за утечки персональных данных, но с такой перспективой не согласились ни бизнес, ни Минэк, предлагавшие разные альтернативы поправкам. 6 февраля стало известно о направлении в Госдуму общественной организацией «Деловая Россия» предложений по смягчению ответственности за утечки, в частности по уменьшению предельных штрафов для компаний до 50 млн руб. Об этом узнал «Коммерсант».
Еще организация предлагает учитывать смягчающие обстоятельства. Таковым может быть подтверждение инвестиций в кибербезопасность от 0,1% годовой выручки в течение трех и более лет до утечки. Сейчас поправки не содержат смягчающих обстоятельств, хотя это обсуждалось при подготовке законопроектов. «Деловая Россия» также считает, что нужно ввести «солидарную» ответственность оператора и его поставщика услуг в области кибербезопасности. Так, если нарушений использования систем защиты данных не было, то вендор должен понести наказание. Предполагается, что это будет стимулировать участников рынка оказывать услуги на должном уровне.
«На этапе подготовки законопроекта и сейчас, перед вторым чтением, мы поддерживаем диалог с бизнес-сообществом, многие предложения оказались конструктивными»,— заверил глава комитета Госдумы по информполитике, связи и IT Александр Хинштейн. Но с претензиями из-за размера штрафов и возможного появления из-за них убытков у операторов депутат не согласился и объяснил, что без ужесточения ответственности за утечки «бизнес невозможно заставить вкладываться в кибербезопасность».
Законопроект № 502104-8 «О внесении изменений в КоАП»
Законопроект № 502113-8 «О внесении изменений в Уголовный кодекс»