Компенсация пострадавшим от утечек персональных данных в качестве смягчающего вину компаний обстоятельства, а также введение механизма страхования киберрисков не вошли в текст законопроекта об оборотных штрафах ко второму чтению, сообщил министр цифрового развития, связи и массовых коммуникаций Максут Шадаев.

Законопроект (№502104-8) об ужесточении ответственности за утечки персональных данных был принят Госдумой в первом чтении в январе 2024 года. Сейчас готовятся поправки ко второму чтению законопроекта.

Ранее Минцифры и правительство РФ предлагали включить в законопроект механизм компенсаций пострадавшим от утечек и учитывать такие выплаты в качестве смягчающего вину обстоятельства для компании, допустившей утечку.

"Нет, пока компенсацию сняли с рассмотрения. (...) Но мы договорились, что мы посмотрим на более позднем этапе. Да, страхования (киберрисков) тоже нет. Пока позиция такая, что от одного до трёх процентов от оборота штраф, если не применялись смягчающие обстоятельства. Если применялись, то штраф может быть меньше", - сказал Шадаев на межотраслевой конференции "Безопасность клиента на первом месте".

Так министр ответил на вопрос, планируется ли в рамках законопроекта об оборотных штрафах за повторную утечку персональных данных вводить в качестве смягчающих обстоятельств компенсацию пострадавшим от утечки, а также механизм страхования компаний от киберрисков.

Он вновь выразил надежду, что законопроект будет рассмотрен в Госдуме до конца года.

В качестве смягчающего обстоятельства предлагается оставить только вложения компаний в отечественные решения по кибербезопасности, уточнил Шадаев.

"Последняя дискуссия (на площадке Госдумы) у нас - это, собственно, определиться, как и в каком объеме компания должна подтверждать свои затраты на российские кибербез-решения. Для того, чтобы в случае, если возникнет (повторная утечка данных - ИФ), можно было рассматривать это как смягчающее обстоятельство, что компания реально вкладывала, инвестировала, заботилась о повышении защищённости своей инфраструктуры, своих ресурсов", - сказал Шадаев.

Министр уточнил, что закон не будет иметь обратной силы, и все утечки с момента его вступления в силу будут рассматриваться как первые.

"Компании должны быть заинтересованы в защите персональных данных (клиентов). Фактически сейчас мы вынуждены формулировать условия, когда компании будут выбирать: либо много платить оборотный штраф, либо вкладывать в систему кибербезопасности, защищённость данных своих клиентов, инфраструктуру и так далее", - подчеркнул Шадаев.

Как ранее сообщал "Интерфакс", Минэкономразвития РФ подготовило поправки ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных, предложив кратное снижение заложенных в нем штрафов, а также смягчающие вину компаний обстоятельства. Источник, знакомый с проектом, говорил "Интерфаксу", что оборотные штрафы за повторную утечку (1-3% от выручки) в поправках сохранены, но максимальный размер штрафа за рецидив предлагается снизить в 10 раз - до 50 млн с 500 млн рублей.

Ранее представители бизнеса и профильных ассоциаций неоднократно заявляли о необходимости снижения размеров штрафов, содержащихся в принятом в первом чтении законопроекте.