Минцифры в новой версии законопроекта об оборотных штрафах за утечку персональных данных предложило сделать их соразмерными объему попавшей в интернет информации. Также в новом документе будет прописано, что именно является объектом утечки личных данных и порядок установления вины конкретной организации, допустившей утечку, поскольку одни и те же данные могут утечь из разных компаний.

Предполагается, что штрафы будут применять в два этапа: за первый случай утечки они будут фиксированными, в прямой зависимости от объема данных, попавших в сеть, а в случае повторения инцидента будет применен оборотный штраф. При этом предлагается установить границы размера такого штрафа.

При взыскании штрафа будут учитываться как смягчающие, так и отягчающие обстоятельства. В министерстве уточнили, «если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным».

Кроме этого, ведомство предложило ввести процедуру добровольной аккредитации компаний по критериям информационной безопасности, которая может стать «подтверждением мер, принятых для защиты от утечек». Это же может рассматриваться как смягчающее обстоятельство.