Не так давно в СМИ появилась новость о том, что лидер фракции «Справедливая Россия – За правду» Сергей Миронов направил председателю правительства РФ Михаилу Мишустину обращение с предложением установить оборотный штраф для бизнеса за первую утечку персональных данных, минимальная сумма которого должна составить 25 млн рублей. По мнению депутата из-за низких штрафов многие операторы персональных данных халатно относятся к защите информации.
Экспертный комментарий по поводу этой инициативы для журнала RSpectr дал ведущий юрист “Lukash & Partners” Эльшан Мамедов, к.ю.н., специалист по защите персональных данных и информационной безопасности.
Делимся подробным комментарием нашего эксперта о предложенной инициативе:
"С подобным высказыванием можно было бы согласиться, если бы не вступившие в силу 30 мая 2025 года новые составы административных правонарушений, предусматривающих, в том числе, штрафы за утечки персональных данных до 20 млн рублей за первое нарушение и до 500 млн рублей за повторное. Следует подчеркнуть, что механизм привлечения к ответственности по вновь появившимся составам до настоящего времени не прошел полноценную практику применения, что создает неопределенность в понимании реальной эффективности предлагаемых изменений, справедливости назначаемых штрафов и методах их расчета.
Вместе с тем, подобная законодательная инициатива, на наш взгляд, несет значительные финансовые риски для бизнеса и без того повышенную нагрузку на контрольно-надзорные органы.
По мнению автора инициативы применение оборотных штрафов с первого нарушения сделает защиту данных приоритетом для бизнеса. Однако, представляется, что малый и средний бизнес штрафы не простимулируют, а поставят компании под удар банкротства, так как в соответствии со ст. 13.11 КоАП РФ размеры штрафов за утечки для ИП ровно такие же как для крупного бизнеса. Согласно майским изменениям размер первого штрафа за утечку уже составляет от 3 до 5 млн рублей. Предлагаемый оборотный штраф от 25 млн рублей может оказаться непосильным бременем для небольших компаний. Даже добросовестные игроки могут пострадать из-за единичных ошибок или непредвиденных обстоятельств.
Важно также отметить, что оборотные штрафы не учитывают отношения оператора с подрядной организацией, которая, например, оказывает услуги по технической защите персональных данных на основании лицензии ФСТЭК. Следует отметить, что вложение в техническую защиту информации по действующему законодательству является обязательным критерием для снижения размера оборотного штрафа за повторные утечки персональных данных в 10 раз, что в частности, направлено на стимулирование компаний к выполнению возложенных обязанностей по защите персональных данных. В то же время, даже если при построении системы защиты персональных данных лицензированной организацией произойдет утечка, то штраф в любом случае будет взыскан с оператора. Будет ли в данном случае подобная защита персональных данных учитываться Роскомнадзором при снижении штрафа также остается вопросом.
Подобная инициатива с одной стороны повышает механизм защиты прав субъектов персональных данных, с другой – ставит бизнес под удар ввиду демонстрации «поведенческого экстремизма осведомленного субъекта», когда граждане могут начать массово направлять жалобы и обращения в прокуратуру и Роскомнадзор о нарушении компаниями требований законодательства о персональных данных.
Предлагаемые изменения могут спровоцировать возможные внеплановые проверки бизнеса, что также создаст колоссальную нагрузку на контрольно-надзорные органы власти включая веб-инфраструктуру. Подобная ситуация уже была продемонстрирована недавним нарушением функционирования реестра операторов персональных данных Роскомнадзора из-за огромного количества направленных уведомлений о начале обработки персональных данных, в результате чего тысячи российских компаний оказались неспособны своевременно выполнить обязанность, рискуя крупными штрафами.
Сложности для бизнеса также охарактеризованы введением в деятельность Роскомнадзора института административного расследования по делам об утечках персональных данных. При проведении административного расследования Роскомнадзор руководствуется установленной методикой внеплановых проверок. Организация должна быть готова оперативно представить всю необходимую информацию по базам данных и ИСПДн, включая данные системы, ставшей источником утечки. От обычных внеплановых проверок такая процедура отличается сокращенным сроком предоставления сведений – всего 3 дня. Невыполнение данного требования повлечет применение санкций по ст. 17.7 КоАП РФ вплоть до временного прекращения деятельности компании.
В конечном итоге следует заключить, что предлагаемая инициатива создаст мощный стимул для бизнеса инвестировать в технологии и процессы, направленные на предотвращение утечек персональных данных, однако их введение требует тщательной проработки механизма назначения и справедливого распределения ответственности между операторами и подрядчиками по защите информации.
Необходимо создавать дифференцированную шкалу штрафов, учитывая объем нанесенного ущерба, масштабы инцидента и способность компании предотвратить подобное событие в дальнейшем. При этом включение в расчет размеров штрафов вины подрядных организаций в случившихся утечках повысит общую эффективность системы защиты данных, снизив необоснованную нагрузку на добросовестных операторов. Установление фиксированных сумм штрафов за каждое нарушение создаст излишнюю жесткость в правоприменительной практике, игнорируя различия в характере и последствиях каждого конкретного инцидента.
Таким образом, предлагаемые изменения в части назначения оборотных штрафов за первое нарушение требует доработки и адаптации к условиям российского бизнеса, существующей нормативно-правовой базы, правоприменительной и судебной практики. В конечном итоге принятие данной меры станет эффективным механизмом защиты только при комплексном учёте влияния на разные сегменты экономики и участников процесса обработки персональных данных."
