Уже почти полтора года в нашей стране говорят и пишут о введении оборотных штрафов за утечки персональных данных, обсуждают законопроект. Что происходит с этой инициативой? Будут ли у нас штрафовать за утечки персональных данных «на всю катушку», точнее, из расчёта выручки? Рассмотрим хронологию вопроса оборотных штрафов в нашей стране на основании официальных данных и публикаций СМИ (основные моменты).

22.02.2022 г.

Стало известно о планах Минцифры по подготовке законопроекта об оборотных штрафах за утечку персональных данных (публикации в СМИ).

06.04.2022 г.

Поправки к ФЗ-152 об обязанности операторов ПДн сообщать в госорганы об утечках персональных данных и подключиться к ГосСОПКА внесли депутаты во главе с Александром Хинштейном и сенатором Андреем Клишасом. Представители российского бизнеса выступили против.

19.05.2022 г.

Заместитель руководителя Роскомнадзора Милош Вагнер предложил расширить ответственность за кражу и торговлю персональными данными вплоть до ввода уголовной ответственности.

26.05.2022 г.

В Минцифры обсудили инициативу о введении оборотных штрафов в отношении компаний, из которых произошла утечка ПДн. Предлагается штраф в размере 1% от оборота организации, причём если не уведомить госорганы об утечке в течении суток, то штраф может вырасти до 3% готового оборота.

12.07.2022 г.

Законопроект еще не внесён в ГосДуму. По имеющимся в СМИ данным Минцифры предлагает усилить ответственность операторов персональных данных за утечку, но ввести ряд смягчающих обстоятельств, в том числе за факт добровольной выплаты компенсаций пострадавшим от утечки, также рассматривались вопросы конкретизации (определения) понятия утечки данных и добровольной аккредитация компаний по критериям информационной безопасности.
На сайте Минцифры изложена позиция по данному вопросу и основные изменения, в том числе планируется определить «что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании».

19.08.2022 г.

Появилась информация, что Минцифры проводит обсуждения возможности создания фонда для компенсации ущерба гражданам, чьи персональные данные «утекли», механизм расчёта и выплаты компенсаций, определения пострадавших. В качестве источника средств рассматриваются поступления от оборотных штрафов.

07.12.2022 г.

Под руководством Президента Российской Федерации Путина В.В. прошло ежегодное заседание Совета по развитию гражданского общества и правам человека, где было предложено не только ввести оборотные штрафы, но и установить уголовную ответственность за незаконный оборот персональных данных, проработать механизм «компенсации кредитными организациями, банками денежных средств, похищенных у их клиентов в результате мошеннических действий. Потому что 90 процентов мошеннических действий — это утечка персональных данных с их стороны».

Президент подчеркнул, что «должны быть проработаны и должны быть приняты соответствующие решения, защищающие интересы граждан», Минцифре, МВД и Центральному банку будут даны соответствующие рекомендации и поручения. Также Президент отметил, что защита этих персональных данных — «это, безусловно, один из ключевых вопросов прогресса на этом важнейшем для развития экономики и социальной сферы треке». По итогам заседания Президент России дал ряд поручений (см. далее).

12.01.2023 г.

Перечень поручений по итогам заседания Совета по развитию гражданского общества и правам человека, утвержденный Президентом России по итогам заседания Совета по развитию гражданского общества и правам человека, состоявшегося 7 декабря 2022 года, в том числе:
«2. Правительству Российской Федерации:
а) рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, усилении ответственности за их незаконный оборот и иные нарушения законодательства в области персональных данных и представить предложения по внесению соответствующих изменений в законодательство Российской Федерации.
Ответственный — Мишустин Михаил Владимирович.
Срок исполнения — 1 июля 2023 года».

27.04.2023 г.

На конференции «Телеком: трансформация бизнес-моделей и поиск новых решений» глава Минцифры Максут Шадаев сообщил, что законопроект об оборотных штрафах за утечки персональных данных скоро может быть внесен может быть внесен в Госдуму. Одно из основных изменений заключается в том, что предложен ряд смягчающих обстоятельств, в том числе добровольная выплата компенсации пострадавшим, в качестве инструмента предлагается использовать портал «Госуслуги».

26.07.2023 г.

В свою очередь, депутат Государственной думы Александр Хинштейн, сенаторы Ирина Рукавишникова и Андрей Турчак представили поправки в КоАП, согласно которым штраф будет налагаться за непринятие компанией необходимых мер по защите ПДн, а не только за сам факт их утечки. Интересно, что органы государственной власти и управления под действие предложенной статьи не попадают.

04.12.2023 г.

Зарегистрирован и направлен Председателю Государственной Думы Законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)».

Размер предлагаемых штрафов:

• для должностных лиц: от 800 тысяч до 2 млн рублей,
• для юридических лиц - 3-15 млн, за повторное нарушение организация — значительный рост, размер штрафов рассчитывается в зависимости от выручки компании.

Не про оборотные штрафы, но не менее важно, что в тот же день был зарегистрирован и направлен Председателю Государственной Думы Законопроект № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные)».

12.12.2023 г.

Параллельно в Государственной Думе оперативно — во втором чтении (30.11) и третьем (05.12) — был рассмотрен законопроект — за нарушение требований в области размещения биометрических персональных данных, сбор персональных данных без письменного согласия субъектов ПДн. 7 декабря, закон был одобрен Советом Федерации, 12 декабря подписан Президентом Российской Федерации.Федеральный закон от 12.12.2023 №589 вступил в силу 23 декабря 2023 года.

26.12.2023 г.

В ответ на законопроект об уголовной ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные, и предполагающий до 10 лет лишения свободы за незаконные сбор или использование персональных данных, Ассоциация больших данных обратилась к депутатам уточнить формулировки, которые, по мнению её экспертов, слишком широко трактуются и позволяют привлечь к ответственности лиц, исследующих утечки, факты утечек и т.д.

23.01.2024 г.

Государственная Дума в первом чтении приняла законопроекты об:

• оборотных штрафах за утечки персональных данных;
• уголовной ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные.

08.02.2024 г.

Национальный совет финансового рынка (НСФР) совместно с российскими банками выступил против оборотных штрафов за утечки персональных данных. Об этом в ЦБ России, Минцифры и ГосДуму было направлено письмо.

22.04.2024 г.

В СМИ («Коммерсантъ») появилась информация, что «администрация президента подготовила отрицательный отзыв на поправки ко второму чтению законопроекта об оборотных штрафах за утечки персональных данных», в том числе «не поддержало предложение выделять установленную долю оборотных средств на кибербезопасность», «компенсации должен назначать суд, а состав правонарушения нужно четко прописать в законопроекте».

16.07.2024 г.

В Минэкономразвития состоялось совещание, посвященное предлагаемому вводу оборотных штрафов за утечку персональных данных, в соответствии с законопроектом, принятым ГосДумой в первом чтении 23 января.

С аргументами против оборотных штрафов выступили представители крупных компаний, союзов, ассоциаций, в том числе высказав опасения, что компании станут жертвами атак и утечек вследствие политической конъектуры и противостояния, что резкий рост инвестиций в кибербезопасность ляжет на плечи потребителей услуг, что для многих предприятий такие штрафы станут непосильной ношей, что не успеют за полгода принять необходимые меры.

Кстати, а сейчас что, меры против утечек ПДн не предпринимаются? Они не обязательны? 

Но меры административной ответственности (штрафы) существуют и применяются!

По состоянию на 14 августа 2024 года законопроект об оборотных штрафах остаётся принятым в первом чтении Государственной Думой. Текст законопроекта и официальные отзывы на него.