АП не одобрила смягчение законопроекта об оборотных штрафах за утечки данных

В начале апреля государственно-правовое управление администрации президента (АП) написало отрицательный отзыв на смягчающие ко второму чтению поправки законопроекта об оборотных штрафах за утечки перcональных данных (ПДн). Об этом пишет «Коммерсантъ» со ссылкой на источники.

Изменения, разработанные при участии Минцифры, предусматривали дифференциацию штрафов для компаний с разным уровнем вложений в кибербезопасность. Если фирма инвестирует 0,1% оборотных средств в защиту от кибератак, выплачивает компенсации пострадавшим от утечек и выполняет требования закона о персональных данных, то штраф для нее предлагалось устанавливать только по нижней границе.

АП не согласилась с идеей фактически установить обязательный размер вложений в кибербезопасность и посчитала, что компенсации пострадавшим должен назначать только суд. Кроме того, в управлении добавили, что в итоговом законе нужно четко определить состав правонарушения. Сейчас он прописан как «действие или бездействие лица, повлекшее неправомерную передачу информации». Также ведомство предложило внести определение идентификатора размера утечки в закон о ПДн, а не в КоАП.

В Минцифры сообщили «Коммерсанту», что продолжают работать над поправками ко второму чтению вместе с «заинтересованными ведомствами». Итоговый вариант документа пока не готов, отметили там.

В Ассоциации больших данных (АБД; в нее входят «Сбер», МТС, «Яндекс» и др.) согласились с АП и считают, что в законе нужна «четкая формулировка состава правонарушения». Механизм компенсаций пострадавшим также вызвал вопросы в организации, так как он «несет риски злоупотреблений». При этом, по мнению АБД, «смягчающие обстоятельства» для компаний, которые вкладываются в кибербезопасность, должны быть описаны в итоговой версии.

В январе 2024 года Госдума приняла в первом чтении поправки к КоАП: за первое нарушение, которое привело к утечке ПДн, планируется ввести штраф до 15 млн руб, за повторное — оборотный штраф от 0,1% до 3% выручки за календарный год. В этом случае размер наказания не может быть ниже 15 млн рублей и выше 500 млн рублей.

В начале марта Ассоциация банков России (АБР) попросила Минцифры отказаться от введения оборотных штрафов за утечки персональных данных при повторном нарушении. В объединении считают, что это дискриминирует коммерческие компании, так как у государственных оборота нет и на них штраф не будет распространяться.

В первом квартале было слито в пять раз больше ПДн, чем в том же периоде 2023 года, объем утечке достиг 159 млн записей. Причем 70% из них пришлось на финорганизации.