Администрация президента не поддержала поправки к законопроекту о штрафах за утечки данных — «Ъ» Статьи редакции

Минцифры предлагало ввести для компаний смягчающие обстоятельства, которые позволили бы назначать им наказание по нижней границе.

• Государственно-правовое управление администрации президента подготовило отрицательный отзыв на поправки ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных, рассказали источники «Ъ», знакомые с проектом.
• Минцифры предлагало смягчить наказание для компаний при соблюдении ряда условий. Они должны соответствовать требованиям закона о персональных данных, выплачивать компенсации пострадавшим и направлять 0,1% оборота на кибербезопасность. Для таких организаций предполагалось назначать штрафы по нижней границе.
• По словам собеседников газеты, администрация президента не поддержала выделение процента от оборота на кибербезопасность. Ведомство также указало, что параметры, которые позволят определять размер утечки, должны содержаться в законе о персональных данных, а не в КоАП, а компенсации — назначаться судом.
• Помимо этого, указывается на нечёткое определение состава правонарушения. Сейчас он описан как «действие или бездействие лица, повлекшее неправомерную передачу информации».
• В Минцифры заявили, что итоговая версия документа ещё не готова. Ведомство прорабатывает поправки с «заинтересованными сторонами». В администрации президента не ответили на запрос «Ъ».
• Опрошенные газетой участники рынка поддерживают введение смягчающих обстоятельств для компаний, «которые несут существенные затраты на обеспечение информационной безопасности» и «предпринимают максимум имеющихся возможностей».
• Спорным остаётся вопрос определения степени вины за утечку данных пользователей. Некоторые полагают, что компания должна нести ответственность «даже если она была атакована, а не допустила ошибку». В Ассоциации больших данных (входят МТС, «Сбер», «Яндекс» и другие) считают, что если организация «невиновна в утечке», то привлекать её к ответственности не нужно.
• При этом компании всё чаще используют «механизм аутсорсинга для обеспечения информационной безопасности», говорит руководитель направления защиты информации облачного провайдера «Нубес» Дмитрий Шкуропат. По его словам, это может стать проблемой при утечках: «Стороны будут перекладывать вину друг на друга».

• Законопроект об оборотных штрафах за утечки данных внесли в Госдуму в конце 2023 года. По нему, в случае повторной утечки данных не менее 1000 человек юрлицам может грозить штраф до 0,1-3% совокупной выручки от реализации всех товаров и услуг за календарный год, предшествующий нарушению. Документ приняли в первом чтении в январе 2024-го.
• В феврале Национальный совет финансового рынка («Альфа-банк», «Тинькофф» и другие) предложил отменить оборотные штрафы за утечку данных или заменить их на штраф от уставного капитала. По мнению финансовых организаций, если их ввести — компаниям придётся тратиться на штрафы, а не информационную безопасность.
• В марте Ассоциация банков России предупредила, что оборотные штрафы за утечки данных могут привести к банкротствам поставщиков ПО для банков.

#новости #утечкиданных