Владимир Путин подписал законы (см. здесь и здесь), кардинально усиливающие ответственность за утечки персональных данных (ПД).
После вступления закона в силу через 180 дней (изменения в Уголовный кодекс при этом вступают в силу через 10 дней) компании, которые недобросовестно относятся к защите информации, ждут оборотные штрафы, а злоумышленников, продающих украденные данные, — тюремные сроки.
Основные изменения поясняли ранее в Минцифры:
• вводятся оборотные штрафы для компаний за повторные утечки — от 1 до 3% годовой выручки (в зависимости от количества утекших данных – ред.);
• минимальный размер оборотных штрафов — от 20 миллионов рублей, максимальный — 500 миллионов рублей;
• штраф могут снизить, если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении трёх лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных;
• штрафы для должностных лиц при утечках персональных данных составят до 2 миллионов рублей;
• за нарушение порядка обработки биометрии юридических лиц ждут штрафы до 2 миллионов рублей, должностных лиц — до 1 миллиона рублей;
• за кражу и незаконное использование персональных данных вводится уголовная ответственность — вплоть до 10 лет лишения свободы.
«Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников», — считают в Минцифры.
Документ был принят Госдумой на прошлой неделе (подробнее о законе здесь) . На рассмотрении ГД он находился больше года.
Как поясняли ранее авторы документа, в настоящее время компании, допустившие утечки ПД, привлекаются по части 1 статьи 13.11 КоАП, предусматривающей максимальный размер штрафа для юридических лиц до 100 тысяч рублей (при рецидиве – до 300 тысяч рублей). При этом указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек.
Справка государственно-правового управления
Федеральным законом «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» устанавливается административная ответственность за ряд административных правонарушений в области персональных данных, в том числе за невыполнение или несвоевременное выполнение оператором обязанностей по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, по уведомлению такого уполномоченного органа в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, а также за действия (бездействие) оператора, повлёкшие неправомерную передачу информации, включающей персональные данные.
Величина административного штрафа за такие действия (бездействие) оператора дифференцируется в зависимости от числа субъектов персональных данных и (или) идентификаторов.
Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.
Более строгая административная ответственность установлена за действия (бездействие) оператора, повлёкшие неправомерную передачу информации, включающей специальную категорию персональных данных, a также биометрические персональные данные.
При этом совершение указанных административных правонарушений лицами, ранее подвергнутыми административному наказанию за аналогичные действия (бездействие), влечёт наложение на юридических лиц, за исключением государственных или муниципальных органов и некоммерческих организаций, административного штрафа, исчисляемого в величине, кратной совокупному размеру выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размеру собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 20 миллионов рублей и не более 500 миллионов рублей.
За указанные административные правонарушения индивидуальные предприниматели несут административную ответственность как юридические лица.
Федеральным законом предусмотрены условия, при выполнении которых до момента вынесения постановления о наложении административного штрафа административный штраф назначается в размере одной десятой минимального размера административного штрафа, предусмотренного за совершение административного правонарушения, но не менее 15 миллионов рублей и не более 50 миллионов рублей.
При этом устанавливается, что административный штраф, назначенный за указанные административные правонарушения и другие нарушения законодательства Российской Федерации в области персональных данных, выявленные в ходе осуществления государственного контроля (надзора), муниципального контроля, не может быть уплачен в размере половины суммы наложенного административного штрафа в течение 20 дней со дня вынесения постановления о наложении административного штрафа.
Дела об указанных административных правонарушениях относятся к подсудности судей арбитражных судов, по таким делам может проводиться административное расследование.
Кроме того, Федеральным законом устанавливается административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных.
Уточняются положения Кодекса, устанавливающие административную ответственность за нарушение законодательства об организации предоставления государственных и муниципальных услуг, а также за нарушение требований в области размещения и обработки биометрических персональных данных в единой биометрической системе, иных информационных системах, обеспечивающих аутентификацию на основе биометрических персональных данных физических лиц.
Усиливается административная ответственность за отдельные нарушения законодательства Российской Федерации в области персональных данных, а также за нарушение требований к использованию радиочастотного спектра, правил радиообмена или использования радиочастот, несоблюдение норм или параметров радиоизлучения.
Федеральный закон вступает в силу по истечении 180 дней после дня его официального опубликования.
——————
Федеральный закон «О внесении изменений в Уголовный кодекс Российской Федерации» направлен на обеспечение уголовно-правовой охраны персональных данных от угроз, связанных с неправомерным доступом к таким данным, их распространением и использованием в преступных целях.
В связи с этим Уголовный кодекс Российской Федерации дополняется статьёй 2721, устанавливающей ответственность за незаконные использование, передачу (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путём неправомерного доступа к средствам её обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путём.
Повышенная ответственность предусматривается, если перечисленные деяния совершены в отношении персональных данных несовершеннолетних лиц, специальных категорий персональных данных или биометрических персональных данных, в том числе из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием служебного положения. Особо строгая ответственность предусматривается за такие деяния, совершённые организованной группой или повлёкшие тяжкие последствия.
Действие статьи 2721 Кодекса будет также распространяться на лиц, передающих компьютерную информацию, содержащую персональные данные, иностранным гражданам, иностранным организациям или иностранным государственным структурам, а равно осуществляющих трансграничное перемещение носителей, содержащих такие данные.
Кроме того, уголовная ответственность предусматривается за создание и администрирование сайтов в информационно-телекоммуникационной сети «Интернет» и других интернет-ресурсах, a также программ, заведомо предназначенных для незаконного хранения и передачи персональных данных, полученных незаконным путём.
В соответствии с Федеральным законом положения новой статьи Кодекса не будут применяться в случаях, если персональные данные используются исключительно для личных или семейных нужд.
