Источники «Коммерсанта» сообщили, что государственно-правовое управление администрации президента подготовило отрицательный отзыв на анонсированные ко второму чтению поправки к законопроекту об оборотных штрафах за утечки персональных данных.
Ранее Минцифры предложило максимально смягчить санкции для нарушителей, если теми будет соблюдён ряд условий: компании должны соответствовать требованиям закона о ПДн, выплачивать компенсации жертвам утечек и направлять 0,1% оборота на кибербезопасность.
АП, как уточняется, не поддержала именно последний пункт. Также представители ведомства обратили внимание на тот факт, что параметры, которые позволят определять объём утечки, должны содержаться именно в законе о ПДн, а не в КоАП. А компенсации пострадавшим — назначаться судом.
Плюс, авторам поправок было указано на нечёткое определение состава правонарушения — в актуальной итерации документа он описан как «действие или бездействие лица, повлекшее неправомерную передачу информации».
Рынок же одобряет введение смягчающих обстоятельств для компаний – операторов ПДн, «которые несут существенные затраты на обеспечение информационной безопасности» и «предпринимают максимум имеющихся возможностей». В экспертном сообществе при этом был озвучен следующий тезис: компания должна нести ответственность «даже если она была атакована, а не допустила ошибку». Также транслируются опасения, что в свете распространяющейся практики ИБ-аутсорсинга в случае киберинцидента «стороны [компания – клиент и собственно безопасники] будут перекладывать вину друг на друга».
Обсуждаемый законопроект внесли в Госдуму в конце прошлого года и приняли в первом чтении в начале 2024-го. В марте Ассоциация банков России отмечала, что оборотные штрафы за утечки могут привести к банкротствам поставщиков банковского софта.