То, о чём весь год говорили большевики все, свершилось — 4 февраля в государственную Думу РФ были внесены законопроекты о внесении поправок в КоАП и уголовный кодекс, ужесточающие ответственность за утечки информации (персональных данных) и их незаконный оборот. Все ожидали проектов законов об оборотных штрафах за утечки информации еще к 1 июля, затем президент сдвинул срок на 1 декабря.
В сентябре этого года, на BIS Summit-2023, эту тему обсуждали на пленарном заседании внушительным составом. И многие участники саммита поднимали вопрос о целесообразности введения огромных (оборотных) штрафов и о снижении ответственности для добросовестных операторов персональных данных, выполнивших все требования регуляторов. Не подвергалось сомнению лишь необходимость увеличения штрафов для тех компаний, что допустили повторную утечку персональных данных, в том числе вследствие неисполнения требований по обеспечению их безопасности.
Исходя из актуальности проблемы и сроков поручениях Президента России возможно предположить, что законопроекты будут рассмотрены и приняты Государственной Думой до конца этого года.
Посмотрим, что вошло в законопроекты.
Административная ответственность за нарушения в сфере оборота персональные данных
Предложенные изменения в КоАП РФ предусматривают увеличение штрафов за персональные данные по статье 13.11.
В ч. 1 за обработку персональных данных, не совпадающую с целью сбора:
- Для гражданских лиц вместо 2-6 тыс. руб. — от 10 до 15 тыс. руб.
- Для должностных лиц вместо 10-20 тыс. руб. — от 50 до 100 тыс. руб.
- Для юридических лиц вместо 60-100 тыс. руб. — от 150 до 300 тыс. руб.
За повторное нарушение штрафы составят:
- Для гражданских лиц — от 15 до 30 тыс. руб.
- Для должностных лиц — от 100 до 200 тыс. руб.
- Для юридических лиц — от 300 до 500 тыс. руб.
Статью также предлагают дополнить частями 10-17.
Штрафы за отсутствие уведомления или несвоевременное уведомление об обработке и утечках персональных данных (ч. 10 и ч. 11)
Штрафы за отсутствие уведомления или несвоевременное уведомление оператором о намерении осуществлять обработку персональных данных:
- Для гражданских лиц — от 5 до 10 тыс. руб.
- Для должностных лиц — от 30 до 50 тыс. руб.
- Для юридических лиц — от 100 до 300 тыс. руб.
Штрафы за отсутствие уведомления или несвоевременное уведомление оператором об утечке персональных данных:
- Для гражданских лиц — от 50 до 100 тыс. руб.
- Для должностных лиц — от 400 до 800 тыс. руб.
- Для юридических лиц — от 100 до 300 тыс. руб.
Штрафы за утечки персональных данных, которые не содержат признаки уголовного преступления (ч. 12 – ч. 17)
От 1 до 10 тысяч человек (или от 10 тыс. до 100 тыс. идентификаторов):
- Для гражданских лиц — от 100 до 200 тыс. руб.
- Для должностных лиц — от 800 тыс. руб. до 1 млн руб.
- Для юридических лиц — от 3 млн до 5 млн руб.
От 10 тыс. до 100 тыс. человек (или от 100 тыс. до 1 млн идентификаторов):
- Для гражданских лиц — от 200 до 300 тыс. руб.
- Для должностных лиц — от 1 млн руб. до 1,5 млн руб.
- Для юридических лиц — от 5 млн до 10 млн руб.
За утечку персональных данных более 100 тыс. человек (или более 1 млн идентификаторов):
- Для гражданских лиц — от 300 до 400 тыс. руб.
- Для должностных лиц — от 1,5 млн руб. до 2 млн руб.
- Для юридических лиц — от 10 млн до 15 млн руб.
За повторную утечку персональных данных:
- Для гражданских лиц — от 400 до 600 тыс. руб.
- Для должностных лиц — от 2 млн руб. до 4 млн руб.
- Для юридических лиц — оборотный штраф в размере от 0,1% до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение.
Штрафы за утечку специальной категории персональных данных:
- Для гражданских лиц — от 300 до 400 тыс. руб.
- Для должностных лиц — от 1,5 млн руб. до 2 млн руб.
- Для юридических лиц — от 10 млн до 15 млн руб.
За повторную утечку данных специальной категории и случае третьего нарушения по остальным категориям персональных данных:
- Для гражданских лиц — от 500 до 800 тыс. руб.
- Для должностных лиц — от 3 млн руб. до 5 млн руб.
- Для юридических лиц — оборотный штраф в размере от 0,1% до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение, но не менее 20 млн руб. и не более 500 млн руб.
Эта версия законопроекта не рассматривает смягчающих обстоятельств для снижения штрафов для тех организаций, которые обеспечили информационную безопасность персональных данных, а также не рассмотрены условия компенсации субъектам персональных данных.
Уголовная ответственность за персональные данные
УК РФ предлагают дополнить статьей 272.1 «Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».
В рамках предлагаемой статьи предусматривается ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа:
- Наказание штрафом до 300 тыс. руб. либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.
- То же деяние в отношении компьютерной информации, содержащей специальные категории персональных данных и биометрические персональные данные, наказывается штрафом до 700 тыс. руб. или в размере зарплаты или иного дохода осужденного до 1 года с лишением права заниматься деятельностью до 2 лет, либо принудительными работами до 5 лет, либо лишением свободы на тот же срок.
- Если деяния совершены из корыстной заинтересованности, повлекли крупный ущерб, совершены группой по сговору или с использованием служебного положения, то они наказываются штрафом до 1 млн руб. или иного дохода за период до 2 лет с лишением права занимать определенные должности, либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб., либо лишение свободы на срок до 6 лет со штрафом до 1 млн руб.
Ужесточается ответственность в случае, если данные нарушения сопряжены с трансграничной передачей данных или повлекли тяжкие последствия (приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы, предоставление доступа к персональным данным с целью причинения вреда здоровью, имуществу, ущерба обороне и др.), либо совершены организованной группой.
Что делать
Сейчас эксперты BISA совместно со стратегическим партерном — группой компаний ИнфоВотч готовят предложения по внесению поправок в законопроекты, прежде всего — в части дифференциации ответственности для добросовестных операторов и тех, кто допустил повторные утечки информации (не только персональных данных!), кто не выполняет требования регуляторов.
Согласитесь, что если из предприятия до персональных данных «утекала» другая информация, то это свидетельствует об отсутствии системы защиты информации.
Ваше мнение, коллеги? Присылайте свои предложения, готовим предложения!