Минцифры установит для бизнеса штраф, соразмерный объему утечки данных
При первой утечке персональных данных клиентов компания будет платить штраф, соразмерный объему попавшей в Сеть информации, при повторном случае будет налагаться оборотный штраф, следует из новой версии законопроекта об оборотных штрафах за утечку персональных данных, сообщает Минцифры в Telegram.
В законопроекте определят границы для оборотных штрафов (минимальный и максимальный процент от выручки, который можно будет взыскать). При этом планируется учитывать смягчающие и отягчающие обстоятельства. Последним может стать сокрытие информации об утечке.
Как смягчающее обстоятельство может рассматриваться добровольная аккредитация компании по критериям информационной безопасности, которую планируют внести в документ авторы инициативы. Ведомство предполагает, что процедура такой аккредитации будет связана с механизмом страхования профессиональной ответственности. Компании в таком случае станут регулярно проверять специалисты, которые смогут подтвердить выполнение всех необходимых требований.
Документ определит, что именно служит объектом утечки и как будет устанавливаться вина конкретной компании. Минцифры указывает, что данные могут «утечь» из разных источников, а мошенники могут продавать собранную из нескольких баз информацию, выдавая ее за базу данных конкретной компании.
Ведомство рассказало, что собранные штрафы могут пойти на компенсацию пострадавшим от утечек гражданам. В Минцифры рассматривают создание специального фонда.
О разработке нового законопроекта в начале июля сообщил глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он рассказал, что административная ответственность за утечку информации для должностных лиц будет составлять штраф от 500 тыс. до 700 тыс. руб., для юридических лиц и ИП — 1% от совокупной выручки за год. По его словам, инициативу внесут в Госдуму в осеннюю сессию.
6 июня Госдума приняла поправки к закону «О персональных данных», согласно которым все компании обязаны сообщать Роскомнадзору об утечках личных данных граждан. Они должны уведомить власти об утечке в течение 24 часов после обнаружения, а в течение 72 часов предоставить результаты расследования и информацию о виновных.