Депутаты Госдумы приняли во втором и третьем, окончательном чтении законы, ужесточающие ответственность за утечки персональных данных.
Документы №502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)» и №502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)» были внесены в парламент ещё в декабре прошлого года.
Если утечка затронула от 1000 до 10 тысяч граждан, а действия оператора «не содержат признаков уголовно наказуемого деяния», штраф будет административным и составит 100-200 тысяч рублей для физлиц, от 200 тысяч до 400 тысяч для должностных лиц и 3-5 млн рублей для юрлиц.
За утечку данных до 100 тысяч пользователей взыщут 200-300 тысяч, 300-500 тысяч и 5-10 млн рублей соответственно. Если «утекли» данные более 100 тысяч граждан, физлицам грозит штраф в размере 400 тысяч рублей, должностным лицам — 600 тысяч рублей, а юрлицам — 15 млн рублей.
За повторное нарушение, если пострадали не менее 1000 человек, штраф для физлиц составит 600 тысяч рублей, а для должностных — 1,2 млн. Для юрлиц штраф будет оборотным — 1-3% совокупной выручки от реализации всех товаров и услуг за календарный год, предшествующий дате нарушения. Или же от выручки за часть текущего года, если фирма временно ничего не продавала, но не менее 20 млн рублей и не более 500 млн.
Для компаний, ежегодные расходы на обеспечение информационной безопасности которых составляют не менее 1% годовой выручки, максимальный штраф составит 50 млн рублей.
При обработке персональных данных без согласия всем трём группам операторов будут грозить штрафы в размере 10-15 тысяч рублей, 50-100 тысяч или 150-300 тысяч рублей соответственно. За повторное нарушение придётся заплатить 15-30 тысяч, 100-200 тысяч или 300-500 тысяч рублей.
Если вовремя или вообще не уведомить об утечке регуляторов, грозит штраф в размере от 5000 рублей до 10 тысяч для физлиц, 30-50 тысяч для должностных и 100-300 тысяч для юрлиц.
Если произошла случайная или неправомерная передача данных, которая повлекла нарушение прав тех, кому эти данные принадлежат, штраф составит 50-100 тысяч для физлиц, 400-800 тысяч для должностных и 1-3 млн для юрлиц.
Отдельно предусмотрено повышение штрафов за утечку биометрических данных. В УК также предлагается новая статья, касающаяся незаконного использования персональных данных, с установлением штрафа до 300 тысяч рублей или в размере дохода осуждённого за период до одного года, либо принудительные работы на срок до четырёх лет, либо лишение свободы на тот же срок.
Если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тысяч рублей, либо в размере дохода осуждённого за два года, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок.
Если преступное деяние было совершено из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до 1 миллиона рублей либо в размере дохода осуждённого за 3 года, срок принудительных работ − до 5 лет, срок лишения свободы − до 6 лет.
В двух последних случаях также может быть назначен дополнительный штраф и запрет на занятие определенной деятельностью. Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до 8 лет, а если преступление повлекло тяжкие последствия − на срок до 10 лет.
В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в свой инфобез не ниже 0,2% от оборотов в течение трех лет; отсутствие привлечения к административной ответственности по целому ряду составов, связанных с компьютерной информационной безопасностью; уровень цифровой зрелости.
Как сказано в пояснительной записке, в настоящее время компании, допустившие утечки ПД, привлекаются по части 1 статьи 13.11 КоАП, предусматривающей максимальный размер штрафа для юридических лиц до 100 тысяч рублей (при рецидиве – до 300 тысяч рублей). При этом указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек.
Закон после подписания президентом вступит в силу по истечении 180 дней после дня его официального опубликования.
- Действие настоящей статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.
- Под тяжкими последствиями понимается временная приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы персональных данных, распространение компьютерной информации, содержащей персональные данные, неограниченному кругу лиц и (или) предоставление или доступ к ней третьим лицам с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне и (или) безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям.
- Под трансграничным перемещением носителей, содержащих указанную в настоящей статье компьютерную информацию, в настоящей статье понимается совершение действий по ввозу на территорию Российской Федерации и (или) вывозу с территории Российской Федерации машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлена запись и хранение компьютерной информации, содержащей персональные данные.
