Бизнес-сообщество направило вице-спикеру Госдумы Вячеславу Володину письмо, в котором предлагается увеличить оборотный штраф за каждый повторный факт утечки персональных данных клиентов.
Российский бизнес предложил увеличивать оборотный штраф компаниям за каждый повторный факт утечки с их стороны персональных данных клиентов. Это следует из письма
В июне зампредседателя по развитию цифровой экономики при Совете Федерации Артем Шейкин рассказал РИА Новости, что Минцифры разработало законопроект об оборотных штрафах для компаний за утечки персональных данных граждан. В июле проект был направлен на отзыв в кабмин. Как сообщил глава комитета Госдумы по информполитике Александр Хинштейн, законопроект предусматривает санкции в зависимости от масштаба утечки. Бизнес предлагает свой вариант. В письме, подписанном представителями «Опоры России», «Деловой России», Российского союза промышленников и предпринимателей и
Законопроект не позволяет определить, при каких обстоятельствах применяется тот или иной размер оборотного штрафа. Вместе с тем, полагаем, что размер штрафа за повторное нарушение за утечку персональных данных граждан в обязательном порядке должен учитывать как количественный показатель, так и состав утекших персональных данных.
В письме уточнили, что законопроект, который предлагает Минцифры, привязывает размер штрафа для юридических лиц к доле совокупного размера годовой выручки и устанавливает строго ограниченные пределы — не менее 15 миллионов рублей, но не более 500 миллионов рублей.
Авторы письма предложили рассчитывать оборотный штраф за повторную утечку таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения. Например, если юрлицо совершило третье повторное административное правонарушение, а размер последнего штрафа составил 15 миллионов рублей, то новый штраф составит 45 миллионов рублей и так далее. При этом для «бесконечно нарушающих» требования компаний должна быть предусмотрена уголовная ответственность.
Кроме того, предлагается привязать размер штрафа к чистой прибыли компании за календарный год, а не к сумме всей выручки за тот же период. В случае отсутствия прибыли нужно установить фиксированный размер штрафа.
Кроме того, в письме предложили ввести термин «умышленная информационная атака» для случаев, когда в утечке данных виновата не компания, а злоумышленник. А также прописать категории для каждой группы нарушений, основанные на степени тяжести произошедшего события, которое позволяет определить сумму штрафа.
Предлагается разработать меры поддержки, которые стимулировали бы компании инвестировать средства в обеспечение информационной безопасности, и разработать механизмы смягчения ответственности, при которых оператор может выплатить компенсацию пострадавшему, при этом не выплачивая штраф за утечку персональных данных.