В настоящее время в КоАПе за утечку данных предусмотрены штрафы лишь для юрлиц — от 60 тыс. до 100 тыс. рублей, а за повторное нарушение — до полумиллиона. Согласно новой версии законопроекта, за утечку данных от 10 000 до 100 000 субъектов, руководителям придется заплатить штраф от 200 тыс. до 400 тыс. рублей, сообщают "Ведомости". Юрлицам и ИП в такой ситуации грозит уже оборотный штраф в размере 0,02% от оборота, но не менее 1 млн рублей. Недавно глава Минцифры Максут Шадаев предлагал направлять оборотные штрафы не в бюджет, а на компенсацию лицам, пострадавшим от утечки.
Минцифры в апреле предложило ввести оборотные штрафы, согласовав документ, в котором компании грозит штраф от 1% до 3%, если организация своевременно не уведомила об утечке Роскомнадзор. В новой версии законопроекта такие штрафы будут назначаться лишь за утечку баз данных с более 100 000 записей.
В новой версии документа Минцифры также предлагает смягчение мер, если утечка произошла впервые, а также если компания приняла должные меры по защите информации. В качестве смягчающих обстоятельств может быть принят добровольный аудит систем информбезопасности компании.
Кроме того, в новой версии законопроекта сообщается, что оборотные штрафы применяются в случае, если утечка базы данных объемом от 10 000 до 100 000 записей позволяет определить принадлежность этих данных не менее чем 1000 конкретных субъектов, а в случаее более объемной утечки (свыше 100 000 записей) — 10 000 субъектов. Исходя из этого, можно предположить, что за утечки баз, в которых не удалось идентифицировать достаточно количество субъектов персональных данных, штрафы налагаться не будут.
Некоторые эксперты полагают, что штрафы для должностных лиц мотивируют их уделять большее внимание информбезопасности. Однако другие полагают, что персональная ответственность не является правильной мерой, потому что утечки обычно происходят из-за неправильно выстроенных процессов обработки, защиты и хранения информации, что обеспечивается не одним человеком, а отделом компании, и зависит от выделения достаточных средств на кибербезопасность.
Также остается под вопросом, кто и как будет доказывать, что утечка данных не является фальшивкой или компиляцией из утекших до этого базы данных. В Уголовном кодексе предусматриваются доследственная проверка и следственные мероприятия, но неясно, как можно прописать в КоАПе расследование Роскомнадзора с привлечением экспертных организаций.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии