У российских компаний появился очередной повод дробить бизнес. Минцифры все-таки грозит им крупными оборотными штрафами за утечки персональных данных, пусть и с верхним пределом

Оборотные штрафы за утечки персональных данных предусмотрены новым законопроектом Минцифры, узнал «Коммерсант».

В середине декабря министр Максут Шадаев говорил о штрафе до 3% оборота компании. Прописана ли эта ставка в законопроекте, издание не уточняет, но называет нижний и верхний порог штрафа — 5 млн и 500 млн рублей. Последний относится к случаям повторной утечки, усугубленной нарушением требований регулятора — например, если компания пыталась скрыть инцидент.

Штраф будет рассчитываться от суммы выручки компании за календарный год, предшествующий году выявления нарушения. Если законопроект примут, он вступит в силу в сентябре 2023 года.

Что не так с этой идеей

Аргумент «за» — бизнесу становится дешевле обновить системы безопасности, чем платить штраф. Особенно учитывая, что сертификация «всей инфраструктуры в соответствии с требованиями безопасности» будет смягчающим обстоятельством. До сих пор наказание остается символическим — так, мартовская утечка данных 58 тысяч клиентов обошлась «Яндекс.Еде» в рубль на клиента (штраф 60 тысяч рублей). На столько же компанию оштрафовали за вскрывшуюся позднее утечку данных курьеров.

Первый вопрос — как быть с государственными организациями, у которых вообще может не быть оборотных средств, но которые тем не менее являются одним из главных — и чувствительных — каналов утечек. «Коммерсант» напоминает о свежем инциденте в подведомственном Роскомнадзору Главном радиочастотном центре.

Второй вопрос — критерий повторности нарушений. Например, злоумышленники могут обогащать и компилировать базы данных, «но далеко не всегда их публикация означает нарушение правил хранения данных», — говорит источник газеты.

Наконец, предельная сумма штрафа настолько велика, что может заставить бизнес дробиться с целью сократить базу начисления — например, по регионам или по специализации. «Крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже»,— сказал источник «Коммерсанта» в крупной IT-компании. Бизнес считал приемлемой для себя ставку оборотного штрафа ниже 1% и отсутствие наказания за первый выявленный факт утечки.