Введение оборотных штрафов за утечку персональных данных может привести к банкротствам среди представителей малого и среднего бизнеса, заявили в «Опоре России». Организация попросила депутатов снизить размер штрафов и отложить на год вступление новых правил в силу. Утечка данных небольших компаний «это не так чувствительно», как утечка у IT-гигантов, но в законопроекте это не отражено, отметили в «Опоре»
Законопроект о введении оборотных штрафов за утечку персональных данных, который в январе одобрили в первом чтении, может привести к банкротствам среди представителей малого и среднего бизнеса. Об этом говорится в обращении президента «Опоры России» Александра Калинина к автору проекта, главе комитета Госдумы по информполитике Александру Хинштейну. С письмом ознакомились «Ведомости».
Хинштейн подтвердил изданию получение письма. Он заявил, что предложения будут рассмотрены при подготовке законопроекта ко второму чтению.
Сейчас, согласно законопроекту, размер штрафа зависит от объема утечки: за потерю данных от 1000 до 10 000 субъектов наказание для юрлиц составит до 5 млн рублей, до 100 000 субъектов — до 10 млн рублей, более 100 000 — до 15 млн рублей. За повторное нарушение предусмотрен оборотный штраф в размере до 500 млн рублей.
Такие штрафы несопоставимы со степенью и размером вреда и несравнимо больше штрафов за другие административные правонарушения, говорится в письме Калинина. В частности, максимальный штраф в 500 млн рублей в восемь раз превышает предусмотренный Административным кодексом сейчас (60 млн рублей). Кроме того, ответственность для бизнеса, согласно инициативе, наступает, даже если он выполнил все требования по защите данных. При этом на сегодняшний день ни одна инфраструктура информационной безопасности не способна обеспечить полную защищенность данных, указал глава «Опоры».
В деловом объединении авторов законопроекта призвали обеспечить правовую определенность в вопросе о том, за какое именно деяние будет штраф. Например, ответственность может наступать только в случае непринятия адекватных выявленным угрозам мер, предложили там. В «Опоре» также попросили дополнить инициативу оговоркой, которая отделяла бы утечку данных от их обработки, чтобы утечкой не считали компиляцию данных, которые находятся в свободном доступе.
В письме также предлагается смягчить требование о подаче уведомления об утечке в Роскомнадзор в течение 24 часов и отложить вступление нормы в силу: с 1 января 2025 года до 1 января 2026 года.
Основное же предложение «Опоры России» — исключить представителей малого и среднего бизнеса из-под действия нормы или предусмотреть более мягкую дифференциацию штрафов, отметил глава комитета по развитию предпринимательства на цифровых платформах Дмитрий Гавриленко. «Когда данные утекают у небольших компаний, это не так чувствительно, как если это утечка IT-гигантов», — пояснил он, добавив, что сейчас персональные данные есть практически у любого бизнеса от промышленных до аналитических компаний.
Гендиректор разработчика IТ-решений «Делись» (резидент «Сколково») Иван Линдберг в беседе с «Ведомостями» отметил, что снижение штрафов может расслабить компании, которые начали ответственнее относиться к охране персональных данных, но поддержал идею о введении моратория на наказание. Бизнесу нужно время, чтобы подстроиться, а деньги, которые придется тратить на штрафы, лучше использовать для усиления IT-инфраструктуры, отметил он.