Президент организации «Опора России» Александр Калинин направил письмо в адрес председателя комитета по информационной политике Госдумы Александра Хинштейна с просьбой смягчить законопроект об оборотных штрафах за утечку персональных данных для малого бизнеса. Об этом сообщают «Ведомости».
4 декабря в Госдуму внесли два законопроекта об усилении ответственности за утечку персональных данных. Первый документ предполагает усилить административную ответственность, второй — ввести уголовную ответственность, добавив в Уголовный кодекс ст. 272.1 («Незаконные действия с компьютерной информацией, содержащей персональные данные»).
Авторы законопроекта — группа сенаторов и депутатов, в том числе первый вице-спикер Совфеда Андрей Турчак и председатель IT-комиссии Александр Хинштейн. Как указано в пояснительной записке, законопроект направлен на стимулирование операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности. По словам авторов изменений, данные, попадая в руки к злоумышленникам, могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений.
Поправки к ст. 13.11 КоАП («Нарушение персональных данных») в части увеличения санкции:
- если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для юрлиц составит от 3 до 5 млн руб.;
- за утечку данных 10 000–100 000 субъектов — от 5 до 10 млн руб.;
- более 100 000 граждан — от 10 до 15 млн руб.
За повторные утечки авторы предлагают ввести оборотные штрафы — от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн.
Основные претензии «Опоры России» касаются слишком высоких штрафов, потому необходимо их уменьшить хотя бы для МСП. Кроме того, организация поднимает вопрос исполнимости норм: даже если компания примет все меры по защите персданных, утечки не могут быть исключены на 100%, а значит, административная ответственность за нарушение неизбежна. Штрафы для бизнеса с низкой маржинальностью могут стать критическими и замедлить деловую активность предприятий. «Опора России» не согласна с санкцией относительно аналогичных составов КоАП: за другие правонарушения, связанные с угрозой жизни и здоровью, штрафы гораздо ниже, указывает Калинин.
В организации предлагают скорректировать деяние, за которое будет наступать административная ответственность. Например, наказывать только за умышленные действия оператора персональных данных, выразившемуся в ненадлежащем их хранении или обработке. Кроме того, Калинин считает, что необходимо продлить срок, в течение которого компания может подать уведомление об инциденте в Роспотребнадзор. Сейчас полагается это сделать в течение 24 часов, но бизнес не успеет в такие короткие сроки даже отследить утечку и разобраться, что произошло, пишет президент организации. Дату вступления закона в силу предлагают отложить с 1 января 2025-го на 1 января 2026 года. И главное, по словам главы «Опоры России», — нужно исключить из-под действия новых норм малых и средних предпринимателей либо дифференцировать для них наказание по их платежеспособности.
23 января Госдума приняла законопроект в первом чтении. К 6 февраля к нему должны были поступить поправки. Дата рассмотрения проекта во втором чтении пока не определена. Хинштейн подтвердил получение письма и пообещал рассмотреть изложенные в нем предложения.