Как стало известно “Ъ”, для оборотных штрафов за утечки персональных данных, которые предусмотрены законопроектом Минцифры, может быть установлен верхний предел в 500 млн руб., а нижний — в 5 млн руб. Эксперты считают, что штрафы подтолкнут компании усилить меры безопасности, но участники рынка предупреждают, что инициатива может привести к «дроблению» российского бизнеса, например, на региональные подразделения с целью уменьшить облагаемые штрафом доходы.
Фото: Евгений Павленко, Коммерсантъ
Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных в компаниях, рассказали источники “Ъ”. Размер штрафа в текущей версии проекта предусмотрен в диапазоне от 5 млн до 500 млн руб., уточнил собеседник “Ъ”, знакомый с заключительной версией документа.
Он поясняет, что «верхний потолок» предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например попыталась скрыть инцидент.
В рамках диапазона, говорят собеседники “Ъ”, штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. В случае принятия инициатива должны вступить в силу в сентябре 2023 года. В Минцифры не ответили “Ъ”.
Министр Максут Шадаев на встрече с президиумом фракции партии КПРФ в Госдуме 14 декабря заявлял, что за несоблюдение сохранности персональных данных предусмотрен штраф в размере до 3% от годового оборота компании. Смягчающими обстоятельствами, по его словам, будут «возмещение ущерба двум третям пострадавших от утечки», а также сертификация «всей инфраструктуры в соответствии с требованиями безопасности».
По данным «Лаборатории Касперского», объем персональных данных, которые попали в сеть вследствие самых крупных утечек в 2022 году, превысил 1,5 млрд записей (см. “Ъ” от 16 декабря). Среди последних утечек — из подведомственного Роскомнадзору Главного радиочастотного центра и службы заказа такси «Ситимобил». В результате последней в сети оказались 4 тыс. фотографий паспортов, принадлежащих водителям, в компании инцидент признали (см. “Ъ” от 23 декабря).
Установление крупных штрафов призвано повысить уровень обеспечения безопасности обработки персональных данных, «раньше было дешевле заплатить штраф, чем внедрить средства защиты, если утечка персональных данных не влечет репутационных рисков», говорит директор по консалтингу ГК InfoWatch Ирина Зиновкина. В результате, считает эксперт, внедренных мер, как технических, так и организационных, недостаточно.
Инициатива стимулирует компании «провести ревизию того, что необходимо сделать в части защиты данных, и, возможно, где-то усилить меры безопасности», считает исполнительный директор «Кросс технолоджис» Лев Фисенко. Однако, по его словам, открытым остается вопрос, что будет с государственными организациями.
«Инциденты с утечками баз данных возникают и у них, будут ли налагаться аналогичные штрафные санкции и каким образом они будут рассчитываться, если у некоммерческих организаций нет оборотных средств и, соответственно, выручки?» — говорит он.
Сумма 500 млн руб. в случае максимальной ответственности компании будет значительной даже для крупной компании, говорит собеседник “Ъ” в IT-отрасли. У него вызывает вопросы понятие повторности нарушения: «Злоумышленники компилируют базы, которые публикуют в сети, и далеко не всегда их публикация означает нарушение правил хранения данных».
Введение оборотных штрафов для бизнеса может привести к «дроблению компаний» с целью сократить базу в случае возможных утечек, в том числе по региональным подразделениям или сфере деятельности, считает источник “Ъ” в одной из IT-компаний. «Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже»,— отмечает он. Но собеседник “Ъ” полагает, что компании будут всесторонне оценивать такой шаг и сопряженные риски, поскольку «дробление» влечет за собой серьезные юридические и финансовые изменения.