Минцифры уточнило позицию по оборотным штрафам за утечки личной информации

Регулятор настаивает на усилении ответственности операторов персональных данных (ПД) и в то же время установит соразмерность штрафов за факты появления ПД в незаконном обороте.

Штрафы будут применяться в два этапа. За первую утечку назначат фиксированный штраф. Его размер будет зависеть от объема потерянных данных. В случае повторной утечки применят оборотный штраф, объяснили в пресс-службе Минцифры.

Ранее регулятор рассматривал вопрос о том, чтобы не штрафовать за первый выявленный факт утечки.

Соразмерность наказания будет зависеть не только от объемов попавшей в публичное поле информации, но и критичности таких ПД. Будут также учитываться действия компании по защите информации, это начнет расцениваться как смягчающее обстоятельство при определении размера штрафа. Отягчающим фактором может стать сокрытие инцидента.

Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности (ИБ) и защиту ПД, считают в Минцифры. Там напоминают, что сейчас вопрос нарушений законодательства в области ПД регулируется статьей 13.11 КОАП, и максимальное наказание предполагает штраф в 500 тыс. рублей для юрлиц. Обсуждаемые сейчас оборотные штрафы будут исчисляться в процентах от выручки. Так, штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд рублей.

Регулятор с введением оборотных штрафов предлагает еще два новшества:

• ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню ИБ,
• создать фонд, который будет действовать по аналогии с «Агентством по страхованию вкладов», выплачивающим возмещения компенсаций гражданам, пострадавшим от утечек.  

Изображение: lori.ru