26 ноября 2024 года законопроект об оборотных штрафах за утечки будет рассмотрен Госдумой во втором чтении.
При этом Минэкономразвития хочет тестировать оборотные штрафы за утечки персональных данных (ПДн) в экспериментальном правовом режиме (ЭПР).
Об этом рассказал директор департамента цифрового развития и экономики данных министерства Владимир Волошин.
«Персональными данными пользуются сейчас все. Если мы хотим действовать аккуратно, то мы поддерживаем предложение о введении ЭПР», — заявил чиновник.
Кроме того, он также предложил отсрочить вступление в силу закона об оборотных штрафах за утечки на два года.
Идею ЭПР для оборотных штрафов в ходе дискуссии выдвинул вице-президент по информбезопасности (ИБ) «Вымпелкома» Алексей Волков.
Такой режим вводится для обкатки технологических или регуляторных новаций и предполагает полный или частичный отказ от исполнения обязательных требований закона, регулирующего ту или иную сферу, для тестирования новых технологий.
ЭПР вводится с согласия профильного ведомства, все такие режимы курирует Минэкономразвития.
В январе 2024 года Госдума приняла в первом чтении соответствующие поправки к КоАП. Согласно документу, за первое нарушение, которое привело к утечке ПДн, планируется ввести штраф до 15 млн рублей, за повторное — оборотный штраф от 0,1% до 3% выручки за календарный год. В этом случае размер наказания не может быть ниже 15 млн рублей и выше 500 млн рублей.
Хотя Владимир Волошин и полагает, что законодательство уже довольно сильно устарело, а существующие максимальные штрафы в 100 000 рублей «крайне редко применяются и вряд ли кого-то могут напугать», в планируемой к рассмотрению редакции законопроекта министерство видит ряд рисков.
И, по мнению чиновника, бизнес к вступлению этого закона в силу через полгода, если он будет принят уже сейчас, не готов.
В октябре Минэк предлагал снизить:
- максимальный размер штрафа в законопроекте для юрлиц в 10 раз – с 500 млн до 50 млн рублей,
- минимальный – с 15 млн до 5 млн рублей.
«Анализ показал, что если бы закон был принят год назад, то его реализация привела бы к тому, что четыре из пяти компаний малого и среднего предпринимательства (оштрафованных за утечки ПДн в 2024 году — ред.) оказались на грани банкротства», – заявил Владимир Волошин газете «Ведомости».
В ходе дискуссии в Госдуме чиновник также отметил, что применение новых штрафов в рамках предлагаемой конструкции может привести к существенным рискам для ряда отраслей, например, для банковской сферы, маркетплейсов, медицины, видеоигр, связи, транспорта и т.д.
По его словам, предприниматели из этих отраслей полагают, что из-за нехватки финансовых ресурсов, кадрового обеспечения и программных продуктов на рынке изменить процессы работы с данными за отведенное время к вступлению невозможно.
Владимир Волошин считает, что это приведет к сжатию проектов, связанных с развитием рынка данных, в том числе ранее заявленных в рамках нацпроекта «Экономика данных», а также к цифровой деградации в ряде отраслей, включая отключение неиспользуемых сервисов.
Министр цифрового развития России Максут Шадаев в середине ноября говорил, что все разногласия по законопроекту сняты.
Чиновник также выражал надежду, что в Госдуме вернутся к рассмотрению законопроекта до конца года.
По его словам, законопроект не имеет обратной силы: штрафы будут применяться к утечкам, которые произошли после принятия закона.