Правительство предложило предусмотреть два обстоятельства, смягчающих административную ответственность за утечку персональных данных:
- если оператор предоставит денежную компенсацию пострадавшим;
- если оператор регулярно инвестировал в мероприятия по обеспечению информбезопасности персональных данных в течение как минимум трех лет до нарушения.
Кабмин предлагает и отягчающее обстоятельство: использование средств связи или несертифицированных средств кодирования (шифрования) при совершении нарушения.
Еще правительство считает необходимым добавить в законопроект нормы об усилении ответственности за утечку биометрических персональных данных. «Интерфакс» со ссылкой на источник сообщил, что Минюст и Минцифры работают над поправками к инициативе.
По мнению кабмина, предлагаемые законопроектом штрафы за утечку персональных данных нуждаются в уточнении на предмет соразмерности и возможности исполнения наказания теми, кого привлекли к административной ответственности.
Другое предложение правительства — предусмотреть в поправках ситуации, когда персональные данные переданы случайно.
О законопроекте
Инициативу о штрафах за утечки персональных данных внесли в Госдуму в декабре 2023 года. Документ предлагает поправки к ст. 13.11 КоАП («Нарушение законодательства в сфере персональных данных») в части увеличения санкции:
- если произошла утечка данных от 1000 до 10 000 субъектов персональных данных, штраф для юрлиц составит от 3 до 5 млн руб.;
- за утечку данных 10 000–100 000 субъектов — от 5 до 10 млн руб.;
- более 100 000 граждан — от 10 до 15 млн руб.
За повторные утечки бизнесу могут грозить оборотные штрафы: от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб. В январе законопроект прошел первое чтение. Дата второго пока не определена.