Госдума во втором и третьем чтении приняла законы, которые значительно ужесточают административную ответственность за утечки персональных данных.
Так, за то, что оператор не уведомил или несвоевременно уведомил Роскомнадзор о планах осуществить обработку персональных данных, вводится штраф, который для граждан составляет от 5000 до 10 000 рублей, для должностных лиц – от 30 000 до 50 000 рублей, а для организаций – от 100 000 до 300 000 рублей.
То же нарушение в случае, если установлена неправомерная или случайная передача данных, повлечет штраф в размере:
- для граждан – от 50 000 до 100 000 рублей,
- для должностных лиц – от 400 000 до 800 000 рублей,
- для юрлиц – от 1 млн до 3 млн рублей.
Если действия или отсутствие действий оператора привели к передаче данных от 1000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов, физлицу грозит штраф от 100 000 до 200 000 рублей, должностному лицу – от 200 000 до 400 000 рублей, для юрлиц – от 3 млн до 5 млн рублей. Речь идет о случаях, когда эти данные не содержат признаков уголовно наказуемого деяния.
Если же за таким нарушением последовала передача персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов, то гражданин может получить штраф на сумму от 200 000 до 300 000 рублей, должностное лицо – от 300 000 до 500 000 рублей, а организация – от 5 млн до 10 млн рублей.
В случае, если речь идет о передаче персональных данных более 100 000 субъектов или более 1 млн идентификаторов, то штраф будет составлять:
- для граждан – от 300 000 до 400 000 рублей,
- для должностных лиц – от 400 000 до 600 000 рублей,
- для юрлиц – от 10 млн до 15 млн рублей.
Если гражданин уже получал ранее штраф за нарушение, которое привело к утечке данных, и совершил его снова, ему могут выписать штраф в размере от 400 000 до 600 000 рублей. Для должностных лиц он составит от 800 000 до 1,2 млн рублей, а для юрлиц – от 1% до 3% совокупного размера выручки, но не меньше 20 млн рублей и не больше 500 млн рублей.
Александр Хинштейн сообщил дополнительные подробности принятых законопроектов. По его словам, в ходе длительной дискуссии обсуждались смягчающие обстоятельства для нарушителей. В итоге был согласован подход Минцифры, который предусматривает смягчение ответственности при совокупности трех условий:
- ежегодные инвестиции оператора в информационную безопасность в размере не менее 0,1% от оборота или выручки в течение трех лет;
- отсутствие отягчающих обстоятельств (например, привлечения к административной ответственности);
- документальное подтверждение соблюдения требований по защите персональных данных.
При этом даже при выполнении этих условий нарушителям все равно придется платить штраф.
Помимо этого, вводится административная ответственность за отказ в предоставлении государственной/муниципальной/иной услуги, если гражданин не хочет предоставлять свою биометрию. Устанавливается ответственность и за невыполнение мер по обеспечению безопасности биометрических персданных в Единой биометрической системе (ЕБС).
В Уголовном кодексе появится новая статья 272.1, которая предусматривает ответственность за незаконное хранение, сбор и передачу персональных данных, полученных противоправным путем. В зависимости от тяжести деяния наказание может составить до 10 лет лишения свободы.
Законодатели также вводят уголовную ответственность за создание и функционирование интернет-ресурсов для заведомо незаконного хранения/ передачи “криминальных” персданных.
При этом Хинштейн подчеркнул, что действие новых составов УК РФ не коснется обработки персональных данных для личных и семейных нужд граждан. Это также не затронет и специалистов инфобеза, расследующих утечки: если сама их деятельность законна – вопросов к ним не возникнет.