Роскомнадзор предложил добавить в готовящийся законопроект об оборотных штрафах за утечки персональных данных понятие «спецоператора», он должен стать удостоверяющим центром для компаний-операторов персональных данных. «Эту роль регулятор хочет взять на себя», — рассказали «Коммерсанту» два знакомых с ходом разработки проекта собеседника. В результате операторы должны будут не только уведомлять Роскомнадзор о том, что обрабатывают личную информацию граждан, но и будут получать у него «лицензию» на эту обработку, объясняют источники издания.

Предполагается, что регулятор будет проводить аудит IT-инфраструктуры компании на соответствие определенным критериям, поясняет один из собеседников. При этом источник «Коммерсанта», близкий к Минцифры, отметил, что инициативу могут распространить только на компании, которые обрабатывают большой объем данных: «Но пока показатели не детализируются». В аппарате главы комитета Госдумы по информполитике, связи и IT Александра Хинштейна подтвердили, что «такое предложение есть», и добавили, что законопроект находится «на финальной стадии». 

С 1 сентября 2022 года, согласно изменениям в закон «О персональных данных», компании-операторы должны уведомлять Роскомнадзор, если они осуществляют любую обработку персональных данных за исключением ряда случаев, например, когда данные обрабатываются для защиты безопасности государства и общественного порядка. Лицензированием в части защиты информации сейчас занимаются ФСБ и ФСТЭК — они сертифицируют средства защиты данных.

Сейчас в КоАПе установлены штрафы за утечку данных только для юрлиц — 60-100 тысяч рублей, при повторном нарушении – до 500 тысяч рублей. Законопроект об оборотных штрафах за утечки обсуждается с весны 2022 года, позже в Минцифре предложили штрафовать юрлица в размере 1-3% от годовой выручки компании в зависимости от обстоятельств правонарушения. Ранее «Коммерсантъ» писал, что диапазон оборотных штрафов за утечки персональных данных в компаниях будет составлять от 5 до 500 млн рублей. По словам собеседника газеты, верхняя граница предусмотрена в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например, попыталась скрыть инцидент.