Как сообщают «Ведомости» со ссылкой на источник, в связи с этим обсуждением законопроект, который планировалось внести в Госдуму еще весной, согласуют не ранее осенней сессии.
Последние несколько недель доработкой законопроекта занимается рабочая группа, в которую входят представители Минцифры, Госдумы и Совета Федерации. По словам источника издания, окончательного и утвержденного всеми участниками варианта законопроекта на данный момент нет.
Напомним, соответствующий законопроект об оборотных штрафах для ИТ-компаний, допустивших утечки ПД, обсуждают еще с весны 2022 г. Проект предполагает введение в КоАП поправок, по которым компания, допустившая утечку, может быть оштрафована на 1 % годового оборота. Размер штрафа вырастет до 3 %, если компания пыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. В декабре 2022 года появилась информация от Минцифры о том, что проработаны смягчающие обстоятельства для провинившихся. Так, штраф может быть ниже, если компания проведет сертификацию своей инфраструктуры в соответствии с требованиями безопасности. Также рассматривался вопрос компенсации ущерба двум третям пострадавших от утечки.
Позже, весной 2023 глава ведомства Максут Шадаев заявил, что в актуальной версии законопроекта положения о фонде нет. Вместо этого Минцифры предложило задействовать портал «Госуслуги» в качестве третьей стороны при распределении компенсаций за утечки ПД. Сообщалось также, что законопроект находился в финальной стадии обсуждения и должен был быть внесен в Госдуму в кратчайшие сроки.
Как сообщает издание, в июне из законопроекта была исключена возможность компенсации вреда пострадавшим пользователям при помощи бонусов и скидок компании. Но от механизма пришлось отказаться, потому что не представляется возможности проверить получение пользователем той или иной компенсации, вместо этого было решено оставить только механизм денежных компенсаций.
Однако источник «Ведомостей» в Минцифры сообщил, что существует предпочтительный для ведомства механизмом действия законопроекта. Так, в случае утечки данных компания должна будет публично обнародовать информацию о ней и уведомить Роскомнадзор, после чего у пользователей будет время на подачу заявлений на компенсацию через портал госуслуг. По истечении этого срока компания должна будет предложить пострадавшим компенсацию, и если она устроит не менее 80 % из них, то оборотный штраф для компании будет определяться «по нижней границе» – 0,1 % от годовой выручки. Если же компенсация не будет предложена или же число удовлетворенных пользователей будет менее 80%, то оборотный штраф будет рассчитан как 3% от оборота компании за год.
Однако заинтересованными сторонами обсуждается и возможность полного отказа от компенсаций. Но такой вариант категорически не устраивает Минцифры. Против компенсаций выступает и глава комитета Госдумы по информполитике Александр Хинштейн.
Ранее «Телеспутник» сообщал, что Минцифры намерено до конца года ввести штрафы от размера годового оборота для компаний за утечки персональных данных (ПД), а также за неуведомление о фактах таких утечек.