Минцифры согласовало законопроект об огромных штрафах за утечки данных

Закон о повышенных штрафах за утечки вышел на финальную стадию. По информации представителей Минцифры, инициатива предполагает введение штрафа в 1% от годового оборота. Его размер может вырасти до 3%, если компания не сообщит об инциденте в Роскомнадзор в течение суток.

О разработке законопроекта стало известно 22 февраля. Работа над ним ускорилась из-за нескольких громких утечек: в марте в интернет утекли персональные данные пользователей «Яндекс.Еды». Злоумышленники составили целую визуализированную карту с адресами пользователей, суммами, которые они тратили в сервисе, и другими данными. За произошедшее компания заплатила минимальный штраф — 60 000 рублей.

В начале мая слили данные 30 млн клиентов лабораторий «Гемотест».

20 мая стало известно о крупной утечке данных пользователей Delivery Club, установившей новый рекорд.

В комитете Госдумы по информполитике поддержали введение оборотных штрафов, чтобы мотивировать бизнес хранить данные пользователей в безопасности. По мнению главы комитета Александра Хинштейна, действующие штрафы до 100 000 рублей — «это насмешка над здравым смыслом».

Эксперт центра продуктов Dozor компании «РТК-Солар» Алексей Кубарев напомнил, что персональные данные обрабатывают не только крупные IT-компании и банки, но и небольшие предприятия, которые редко инвестируют в кибербезопасность. В таком случае утечку могут не раскрыть оперативно и сама компания может узнать о ней из СМИ или соцсетей.

Советник адвокатского бюро ЕПАМ Елена Авакян заявила, что в российском законодательстве до сих пор нет определения того, что считать утечкой персональных данных. Кроме того, неясно, кто и как будет подтверждать и классифицировать утечки.