В России предложили увеличить штрафы за утечки персональных данных до 500 млн рублей

Сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Александр Хинштейн направили главе Правительства Михаилу Мишустину финальную версию законопроекта, вводящего оборотные штрафы за утечки персональных данных. Копия документа есть у РБК, её подлинность подтвердил источник, близкий к одному из авторов поправок.

Документ оформлен как поправки в Кодекс об административных нарушениях.

Согласно инициативе, за утечку:

• если она касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц составит от 3 млн до 5 млн руб.;
• за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.;
• более 100 тыс. — от 10 млн до 15 млн руб.

За повторное нарушение при любом объёме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.

За утечки биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб. Также проект предлагает ввести штрафы различного размера за утечки персональных лиц для граждан и должностных лиц.

В настоящее время максимальный штраф для компаний, по вине которых произошла утечка персональных данных, не превышает 100 000 рублей и 300 000 рублей при повторном нарушении.

Источник издания, близкий к авторам поправок, отметил, что они также предполагают внести изменения в Уголовный кодекс, предполагающие в том числе лишение свободы на срок до 10 лет за преступления, связанные с трансграничной передачей персональных данных. Собеседник издания отметил, что правительство уже дало положительный отклик на эту часть поправок.

Предполагается, что изменения вступят в силу спустя 30 дней после официального опубликования. Александр Хинштейн подтвердил РБК, что поправки в КоАП направили на отзыв в Правительство.

В то же время не решён вопрос о компенсациях постражавшим от утечек гражданам. Об этом пишут «Ведомости» со ссылкой на пять источников, знакомых с ходом обсуждения документа или участвовавших в его разработке. Последние несколько недель доработкой законопроекта занимается рабочая группа, в которую входят представители Минцифры, Госдумы и Совета Федерации. Окончательного и утвержденного всеми участниками варианта законопроекта на данный момент нет.

Кроме введения штрафов для компаний, рассматривался вопрос компенсации ущерба двум третям пострадавших от утечки.

Весной 2023 глава Минцифры Максут Шадаев заявил, что в актуальной версии законопроекта положения о специальном фонде нет. Вместо этого Минцифры предложило задействовать портал «Госуслуги» в качестве третьей стороны при распределении компенсаций за утечки ПДн.

Сообщалось также, что законопроект находился в финальной стадии обсуждения и должен был быть внесен в Госдуму в кратчайшие сроки.

Как сообщает издание, в июне из законопроекта была исключена возможность компенсации вреда пострадавшим пользователям при помощи бонусов и скидок компании. Но от механизма пришлось отказаться, потому что не представляется возможности проверить получение пользователем той или иной компенсации, вместо этого было решено оставить только механизм денежных компенсаций.

Источник «Ведомостей» в Минцифры сообщил, что существует предпочтительный для ведомства механизмом действия законопроекта. Так, в случае утечки данных компания должна будет публично обнародовать информацию о ней и уведомить Роскомнадзор, после чего у пользователей будет время на подачу заявлений на компенсацию через портал госуслуг. По истечении этого срока компания должна будет предложить пострадавшим компенсацию, и если она устроит не менее 80 % из них, то оборотный штраф для компании будет определяться «по нижней границе» – 0,1 % от годовой выручки. Если же компенсация не будет предложена или же число удовлетворенных пользователей будет менее 80%, то оборотный штраф будет рассчитан как 3% от оборота компании за год.

Однако заинтересованными сторонами обсуждается и возможность полного отказа от компенсаций. Но такой вариант категорически не устраивает Минцифры. Против компенсаций выступает и глава комитета Госдумы по информполитике Александр Хинштейн.