Бизнесу оборачивают штрафы
Депутаты работают над наказанием за утечки данных
Чувствительный для бизнеса законопроект об оборотных штрафах за утечки персональных данных планируют принять до конца года, однако вступление закона в силу может быть отложено. Также депутаты прорабатывают количественные параметры законопроекта. До сих пор нет даже определения, что в целях исполнения будущего закона считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании—оператора данных.
Фото: Влад Некрасов, Коммерсантъ
Фото: Влад Некрасов, Коммерсантъ
Проект закона, вводящего оборотные штрафы для бизнеса за утечки персональных данных пользователей, примут до конца года, заявил 19 сентября заместитель председателя комитета Госдумы по информполитике, связи и IT Андрей Свинцов в ходе пленарного заседания конференции по информбезопасности BIS Summit 2024. При этом он сообщил, что срок самого вступления в силу закона может быть отложен в зависимости от готовности бизнеса к регулированию.
«Принятие законопроекта в первом чтении послужило сигналом для отрасли, что инициатива будет полностью принята в ближайшем будущем, и пока мы рассчитываем принять его до конца года»,— сказал Андрей Свинцов. Однако есть риск, что компании, работающие с персональными данными, «начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет по итогу на потребителя».
С другой стороны, рассказал Андрей Свинцов, «мы понимаем, что бизнес будет вынужден выделить сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны». До сих пор нет четкого определения, что в таком случае считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании—оператора данных. В комитете Госдумы по информполитике “Ъ” дополнительно не ответили, в Минцифры обсуждаемые вопросы комментировать не стали.
Законопроект о штрафах за утечки депутаты во главе с руководителем комитета по информполитике Александром Хинштейном внесли на рассмотрение в декабре 2023 года, принята текущая версия в первом чтении была в январе. Максимальный штраф для юрлиц, допустивших утечку, составит 0,1–3% выручки за год, но не более 500 млн руб. На 19 сентября, по данным Роскомнадзора, было зарегистрировано более 923 тыс. операторов персональных данных.
В сети продолжают расти утечки информации, в 2024 году все чаще ими становятся именно данные компаний. По информации F.A.С.С.T. (ранее Group-IB), на теневых форумах за первые полгода были опубликованы данные 150 компаний, которые до этого нигде не появлялись, а годом ранее таких было 119. Но утечки также содержали персональные данные сотрудников (см. “Ъ” от 23 июля).
«Что касается использования небольших организаций, обеспечивающих обработку персональных данных в пользу больших организаций, это может быть применимо не только для ухода от штрафов, но и для упрощения процедур хранения»,— допускает глава комитета по ИБ Ассоциации российских банков Андрей Федорец. Все же окружить контуром безопасности небольшую инфраструктуру существенно проще, чем крупную организацию, объясняет он.
Редакция законопроекта, принятая в первом чтении, нуждается в доработке: уточнении состава правонарушения и дополнении смягчающими обстоятельствами, стимулирующими к мерам повышения безопасности, считают в Ассоциации больших данных (АБД, объединяет «Сбер», «Ростелеком», «Яндекс» и другие крупные IT-компании).
«Пока версия проекта стимулирует исключительно к необходимости заложить бюджет на штраф»,— признают в АБД.
Скорее всего, в законе будет предусмотрена ответственность группы лиц, что потенциально позволит привлекать к ней все компании, входящие в группу, объясняет юрист Comply Артем Сафьянников. Такой подход уже известен российскому законодательству (например, в конкурентном праве), поэтому, скорее всего, искусственное дробление бизнеса никак не поможет избежать исчисления штрафа в пропорции от выручки всех компаний, входящих в «группу лиц», считает он.