30.05.2022
Министерство цифрового развития России согласовало законопроект, который ужесточит ответственность компаний за утечку персональных данных их клиентов. Представитель Минцифры сообщил, что законопроект находится в финальной стадии: инициатива предполагает, что нарушители могут быть оштрафованы на 1 % от годового оборота. При этом штраф может вырасти до 3 %, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение 24 часов. В ближайшее время инициативу планируют внести в Госдуму. «Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 000 рублей за утечку «Яндекс.Еды» – это насмешка над здравым смыслом», – подчеркнул глава комитета ГД Александр Хинштейн. По мнению депутата, принятие законопроекта об оборотных штрафах будет мотивировать бизнес больше инвестировать в развитие систем информационной безопасности. Уточняется, что разработку инициативы ускорили из-за раскрытия в интернете информации о пользователях «Яндекс.Еды», Delivery Club и клиентов лаборатории «Гемотест». Эксперты раскрыли объем утечек данных о клиентах доставки еды в России. С февраля по май в сети оказались сведения о более чем восьми миллионах клиентов. Впервые о планах Минцифры подготовить законопроект о введении оборотных штрафов за утечку персональных данных стало известно 22 февраля. Персональные данные сейчас обрабатывают не только крупные IT-компании и банки, но и небольшие предприятия, например, из сферы услуг и ритейла, которые редко инвестируют в информационную безопасность. Меры, предложенные Минцифры, в целом аналогичны принципам GDPR (General Data Protection Regulation). GDPR действует в Европе и предусматривает взыскание оборотных штрафов за утечку данных, а также увеличение размеров штрафов в случае неуведомления регулятора. Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). На текущий момент специального определения «утечки персональных данных» – нет. Как правило, под «утечкой» понимается распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. п. 1, 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).