23 января Госдума приняла в первом чтении законопроекты об административной и уголовной ответственности за утечки персональных данных.
Глава комитета Госдумы по информационной политике Александр Хинштейн на пленарном заседании отметил, что с момента внесения проекта закона 4 декабря прошлого года Роскомнадзором зафиксированы 18 фактов утечек персональных данных, содержащих свыше 517 миллионов записей о гражданах РФ; с начала с текущего 2024 года - уже восемь фактов утечек персональных данных.
Глава комитета Госдумы по информационной политике Александр Хинштейн на пленарном заседании отметил, что с момента внесения проекта закона 4 декабря прошлого года Роскомнадзором зафиксированы 18 фактов утечек персональных данных, содержащих свыше 517 миллионов записей о гражданах РФ; с начала с текущего 2024 года - уже восемь фактов утечек персональных данных.
"Всего за прошлый год 168 фактов утечек, по ним вынесены протоколы и назначены штрафы, общая сумма собранных штрафов менее пяти миллионов рублей - это наглядный результат отсутствия в сегодняшнем законодательстве реальных механизмов борьбы с этим злом", - сказал Хинштейн.
Штрафы
Поправки в законодательство, в частности, предполагают, что если утечка коснется от 1 тыс. до 10 тыс. субъектов, то штраф для юрлиц составит от 3 до 5 млн руб.; от 10 тыс. до 100 тыс. субъектов - от 5 до 10 млн рублей; более 100 тыс. - от 10 до 15 млн руб.
За повторные утечки предлагаются оборотные штрафы - для граждан в размере от 400 тыс. до 600 тыс. руб., для должностных лиц - от 2 млн до 4 млн руб., в отношении юридических лиц предусматривается оборотный штраф - от 0,1% до 3% выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей.
В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тыс. рублей, а при повторном совершении административного правонарушения - до 300 тыс. рублей.
Проектом закона предлагается также ввести административную ответственность и за невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: - о намерении осуществлять обработку персональных данных - штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц - от 30 тыс. до 50 тыс. руб.; на юридических лиц - от 100 тыс. до 300 тыс. руб.; в случае установления факта утечки персональных данных, повлекшей нарушение прав субъектов персональных данных - штраф на граждан в размере от 50 тыс. до 100 тыс. руб.; на должностных лиц - от 400 тыс. до 800 тыс. руб.; на юридических лиц - от 1 млн до 3 млн руб.
Под должностным лицом понимается должностное лицо государственного или муниципального органа, сотрудник государственного или муниципального учреждения, говорится в проекте закона.
Под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом, государственным или муниципальным учреждением.
За повторные утечки предлагаются оборотные штрафы - для граждан в размере от 400 тыс. до 600 тыс. руб., для должностных лиц - от 2 млн до 4 млн руб., в отношении юридических лиц предусматривается оборотный штраф - от 0,1% до 3% выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей.
В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тыс. рублей, а при повторном совершении административного правонарушения - до 300 тыс. рублей.
Проектом закона предлагается также ввести административную ответственность и за невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: - о намерении осуществлять обработку персональных данных - штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц - от 30 тыс. до 50 тыс. руб.; на юридических лиц - от 100 тыс. до 300 тыс. руб.; в случае установления факта утечки персональных данных, повлекшей нарушение прав субъектов персональных данных - штраф на граждан в размере от 50 тыс. до 100 тыс. руб.; на должностных лиц - от 400 тыс. до 800 тыс. руб.; на юридических лиц - от 1 млн до 3 млн руб.
Под должностным лицом понимается должностное лицо государственного или муниципального органа, сотрудник государственного или муниципального учреждения, говорится в проекте закона.
Под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом, государственным или муниципальным учреждением.
Зачем нужны изменения
В пояснительной записке к поправкам в КоАП отмечается, что сейчас для компаний, допустивших утечки персональных данных, максимальный штраф составляет до 100 тыс. руб. и до 300 тыс. руб. при повторном нарушении. «Указанный размер не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — говорится в документе. Поправки, по мнению их авторов, должны стимулировать операторов персональных данных инвестировать в информационную безопасность и защиту данных своих пользователей.