Для суммы оборотного штрафа за допущенную утечку данных установлены верхний и нижний предел. Новый законопроект Минцифры установил, что минимальный размер штрафа должен быть не менее 5 млн руб., а максимальный – не более 500 млн руб., при этом максимальная сумма может взиматься только в случае допущения повторных утечек данных, а также при попытке скрыть инцидент.
Промежуточные размеры штрафа будут исходить из размера годовой выручки компании за предшествующий инциденту год. Сумма может доходить до 3% от оборота компании, однако могут быть учтены смягчающие обстоятельства: например, компенсация вреда двум третям пострадавших от утечки данных, либо наличие сертификатов на всю инфраструктуру на предмет безопасности.
К документу остаются вопросы: например, как будет рассчитываться штраф для государственных компаний при отсутствии выручки, или рассматривать ли случаи попадания в открытый доступ компиляций баз данных, созданных злоумышленниками, в качестве повторного инцидента.