Минцифры уточнило позицию по оборотным штрафам за утечки личной информации
Регулятор настаивает на усилении ответственности операторов персональных данных (ПД) и в то же время установит соразмерность штрафов за факты появления ПД в незаконном обороте.
Штрафы будут применяться в два этапа. За первую утечку назначат фиксированный штраф. Его размер будет зависеть от объема потерянных данных. В случае повторной утечки применят оборотный штраф, объяснили в пресс-службе Минцифры.
Ранее регулятор рассматривал вопрос о том, чтобы не штрафовать за первый выявленный факт утечки.
Соразмерность наказания будет зависеть не только от объемов попавшей в публичное поле информации, но и критичности таких ПД. Будут также учитываться действия компании по защите информации, это начнет расцениваться как смягчающее обстоятельство при определении размера штрафа. Отягчающим фактором может стать сокрытие инцидента.
Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности (ИБ) и защиту ПД, считают в Минцифры. Там напоминают, что сейчас вопрос нарушений законодательства в области ПД регулируется статьей 13.11 КОАП, и максимальное наказание предполагает штраф в 500 тыс. рублей для юрлиц. Обсуждаемые сейчас оборотные штрафы будут исчисляться в процентах от выручки. Так, штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд рублей.
Регулятор с введением оборотных штрафов предлагает еще два новшества:
- ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню ИБ,
- создать фонд, который будет действовать по аналогии с «Агентством по страхованию вкладов», выплачивающим возмещения компенсаций гражданам, пострадавшим от утечек.
Изображение: lori.ru