Из текста закона и из тех новостей которые мне попадались (и на один из таких источников я сослался в своих новостях, когда писал о принятии этого закона) видно, что штрафовать будут за нарушения данного закона. Одним из которых является отсутствие регистрации базы в ДСЗПД (о дырявом сайте которой я писал), т.е. они планируют зарабатывать на тех чья “база не в базе”. А вариант штрафа за публичное размещение БД на сайте я описал в своей статье.

Базы должны регистрировать все компании (кроме баз частных лиц, журналистов и творческих деятелей). Ну и естественно компании не должны допускать утечек. Поэтому если будет реальная утечка, вот тогда, по логике вещей, ДСЗПД должна оштрафовать такую компанию (независимо зарегистрирована её база или нет, а именно за утечку). Например, недавно произошла утечка базы данных сайта solor.da-kyiv.gov.ua - так пусть ДСЗПД их оштрафует. И то, что утечка была 28.06.2012, ещё до официального начала работы штрафных санкций, то это пусть их не смущает. А если для них дата принципиальна, мол в тот день штрафных санкций ещё не было в кодексе и они юридически не могут их штрафовать, то можно эту утечку сделать повторно - столько раз, сколько нужно ДСЗПД, чтобы они не отнекивались, а сделали своё дело и оштрафовали “штрафника-дыродела”, допустившего утечку.

За одну лишь дыру на сайте магазина они штрафовать не будут (нужен факт утечки персональных данных). В законе это не предусмотрено, к сожалению у нас законодательство не особо продвинутое (но чем раньше к этому придём тем лучше, если не в нашей стране, то хотя бы в продвинутых странах). В мире уже давно штрафуют за утечки персональных данных (особенно крупные) - в тех странах, где есть подобное законодательство - я писал о таких случаях. И нам также нужно к этому прийти (чему может послужить этот закон). Зато если интернет-магазин не зарегистрировал свою БД клиентов, то их ДСЗПД может оштрафовать и без утечек баз .