Собеседник “Ъ”, знакомый с заключительной версией документа, поясняет, что «верхний потолок» предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например попыталась скрыть инцидент.
В рамках диапазона, штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. В случае принятия, инициатива должны вступить в силу в сентябре 2023 года.
Сумма 500 млн руб. в случае максимальной ответственности компании будет значительной даже для крупной компании. Вызывает вопросы понятие повторности нарушения, т.к. злоумышленники компилируют базы, которые публикуют в сети, и далеко не всегда их публикация означает нарушение правил хранения данных.
Введение оборотных штрафов для бизнеса может привести к «дроблению компаний» с целью сократить базу в случае возможных утечек, в том числе по региональным подразделениям или сфере деятельности, но компании будут всесторонне оценивать такой шаг и сопряженные риски, поскольку «дробление» влечет за собой серьезные юридические и финансовые изменения.
Напомним, что министр Максут Шадаев на встрече с президиумом фракции партии КПРФ в Госдуме 14 декабря заявлял, что за несоблюдение сохранности персональных данных предусмотрен штраф в размере до 3% от годового оборота компании. Смягчающими обстоятельствами, по его словам, будут «возмещение ущерба двум третям пострадавших от утечки», а также сертификация «всей инфраструктуры в соответствии с требованиями безопасности».
По данным «Лаборатории Касперского», объем персональных данных, которые попали в сеть вследствие самых крупных утечек в 2022 году, превысил 1,5 млрд записей. Среди последних утечек — из подведомственного Роскомнадзору Главного радиочастотного центра и службы заказа такси «Ситимобил». В результате последней в сети оказались 4 тыс. фотографий паспортов, принадлежащих водителям, в компании инцидент признали.
