В третьем чтении Госдумой принят пакет законопроектов (см. здесь и здесь), усиливающих ответственность за утечки персональных данных (ПД).
Документ был внесён в Госдуму почти год назад. Накануне стало известно о том, что в него ко второму чтению внесены изменения.
UPD: закон подписан.
Глава IT-комитета Госдумы поясняет изменения. Поправки в КоАП увеличивают штрафы за незаконную обработку данных: в случае повторного нарушения предлагается установить штрафы для граждан до 30 тысяч рублей, для должностных лиц до 200 тысяч, для юрлиц до 500 тысяч рублей.
Впервые вводятся оборотные штрафы. При этом на прошлой неделе глава Минцифры пояснял, что в законопроекте об оборотных штрафах за утечку персональных данных не будет норм о страховании и денежных компенсациях пользователям, чьи данные утекли.
За незаконное распространение от 1 тысячи до 10 тысяч субъектов персональных данных или от 10 тысяч до 100 тысяч идентификаторов предлагается установить штрафы: для граждан — в размере от 100 тысяч до 200 тысяч рублей; для должностных лиц − от 200 тысяч до 400 тысяч рублей; для юридических лиц − от 3 миллионов до 5 миллионов рублей.
За массовую утечку данных (более 100 тысяч субъектов ПД или более 1 миллиона идентификаторов) штрафы вырастают до 400 тысяч, 600 тысяч и до 15 миллионов рублей. При повторных нарушениях штрафы вырастут до 600 тысяч рублей для граждан и до 1,2 миллиона для должностных лиц, для юридических лиц − от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год.
Отдельно предусмотрено повышение штрафов за утечку биометрических данных. В УК также предлагается новая статья, касающаяся незаконного использования персональных данных, с установлением штрафа до 300 тысяч рублей или в размере дохода осуждённого за период до одного года, либо принудительные работы на срок до четырёх лет, либо лишение свободы на тот же срок.
Если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тысяч рублей, либо в размере дохода осуждённого за два года, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок.
Если преступное деяние было совершено из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до 1 миллиона рублей либо в размере дохода осуждённого за 3 года, срок принудительных работ − до 5 лет, срок лишения свободы − до 6 лет.
В двух последних случаях также может быть назначен дополнительный штраф и запрет на занятие определенной деятельностью. Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до 8 лет, а если преступление повлекло тяжкие последствия − на срок до 10 лет.
В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в свой инфобез не ниже 0,1% от оборота в течение трёх лет; отсутствие привлечения к административной ответственности по ряду составов, связанных с информационной безопасностью; документальное подтверждение соблюдения требований к защите персданных.
Как сказано в пояснительной записке, в настоящее время компании, допустившие утечки ПД, привлекаются по части 1 статьи 13.11 КоАП, предусматривающей максимальный размер штрафа для юридических лиц до 100 тысяч рублей (при рецидиве – до 300 тысяч рублей). При этом указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек.
Закон в случае его подписания президентом вступит в силу по истечении 180 дней после дня его официального опубликования.