Министерство экономического развития России разработало поправки ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных. Согласно информации, полученной агентством «Интерфакс» от источника, знакомого с инициативой министерства, предлагается существенно снизить размеры штрафов, предусмотренных в первоначальной версии документа.
Законопроект № 502104-8, принятый Государственной Думой в первом чтении в январе 2024 года, изначально предполагал внесение изменений в Кодекс об административных правонарушениях (КоАП) с целью ужесточения ответственности за утечки персональных данных. Однако представители бизнеса и профильных ассоциаций неоднократно выражали обеспокоенность высокими размерами штрафов.
Основные изменения, предложенные Минэкономразвития:
1. Снижение штрафов за утечки персональных данных:
— При утечке данных 1-10 тыс. субъектов: 1,5-2 млн рублей (вместо 3-5 млн)
— При утечке данных 10-100 тыс. субъектов: 2-3 млн рублей (вместо 5-10 млн)
— При утечке данных более 100 тыс. субъектов: 3-5 млн рублей (вместо 10-15 млн)
2. Изменение штрафов за повторные нарушения:
— Сохранение оборотных штрафов в размере 0,1-3% от годовой выручки или капитала банка
— Снижение максимального размера штрафа с 500 млн до 50 млн рублей
— Уменьшение минимального размера штрафа с 15 млн до 5 млн рублей
3. Введение отдельной ответственности за утечку биометрических данных и персональных данных специальной категории:
— За утечку биометрических данных: от 3 млн до 10 млн рублей в зависимости от количества пострадавших субъектов
— За утечку специальных категорий персональных данных: от 2 млн до 7 млн рублей в зависимости от масштаба утечки
4. Особые условия для малого и среднего бизнеса (МСП) и социально ориентированных некоммерческих организаций:
— Применение штрафов, предусмотренных для должностных лиц, которые ниже, чем для юридических лиц
5. Введение смягчающих обстоятельств:
— Учет расходов на информационную безопасность в размере не менее 0,1% от выручки компании или капитала банка за предшествующий год
Министерство экономического развития обосновывает необходимость снижения штрафов рядом рисков для бизнеса. В частности, отмечается, что высокие штрафы могут привести к существенной финансовой нагрузке на компании, что может отразиться на тарифах для конечных потребителей. Кроме того, для организаций, участвующих в национальных и федеральных проектах по цифровой трансформации или занимающихся импортозамещением средств защиты информации, может быть затруднительно одновременно исполнять требования законопроекта и реализовывать указанные мероприятия.
Министерство также выразило обеспокоенность тем, что в текущей редакции законопроекта операторы персональных данных могут привлекаться к ответственности за утечку даже при правомерном поведении. Это, по мнению ведомства, может привести к росту числа кибератак с целью недобросовестной конкуренции и вымогательства.
Предложенные Минэкономразвития поправки направлены на поиск баланса между необходимостью защиты персональных данных граждан и сохранением благоприятных условий для ведения бизнеса в России. Дальнейшее рассмотрение законопроекта и предложенных поправок будет продолжено в Государственной Думе.
