Госдума усиливает наказания за утечку личной информации
Документ, инициированный группой сенаторов и депутатов, поступил в Госдуму в декабре 2023 года. Он сопровождается еще одним законопроектом, касающимся наказаний за создание сайта, предназначенного для незаконного обращения с личными данными. Первый этап обсуждения обоих законопроектов состоялся в январе 2024 года, и теперь они получили дальнейшую поддержку. Принятые изменения касаются дополнений к статье 13.11 Кодекса об административных правонарушениях (КоАП РФ), связанной с нарушениями законов о персональных данных.
Основные изменения
В частности, законопроект вводит штрафы за несвоевременное информирование Роскомнадзора о планируемой обработке персональных данных. Штрафы составят от 5 до 10 тысяч рублей для граждан, от 30 до 50 тысяч рублей для должностных лиц, и от 100 до 300 тысяч рублей для юридических лиц.
Если оператор данных не уведомит Роскомнадзор о случайной или неправомерной передаче личной информации, что повлечет за собой нарушение прав субъектов, то гражданам будет грозить штраф от 50 до 100 тысяч рублей, должностным лицам – от 400 до 800 тысяч рублей, а юридическим лицам – от 1 до 3 миллионов рублей.
Предусмотрены также штрафы за случаи неправомерного распространения информации, содержащей персональные данные от одной до десяти тысяч субъектов. Для граждан это будет стоить от 100 до 200 тысяч рублей, для должностных лиц – от 200 до 400 тысяч рублей, а для юридических лиц – от 3 до 5 миллионов рублей.
В случае более масштабной утечки информации – от десяти тысяч до ста тысяч субъектов – предусмотрены штрафы от 200 до 300 тысяч рублей для граждан, от 300 до 500 тысяч рублей для должностных лиц и от 5 до 10 миллионов рублей для юридических лиц. В случае, если ситуация затрагивает более ста тысяч персональных данных, гражданам могут назначить штраф от 300 до 400 тысяч рублей, должностным лицам – от 400 до 600 тысяч рублей, а юридическим лицам – от 10 до 15 миллионов рублей.
Законопроект также включает положения о более строгих мерах для тех, кто уже имел административные взыскания за схожие нарушения: штрафы будут достигать 600 тысяч рублей для граждан и 1,2 миллиона рублей для должностных лиц, в то время как юридическими лицами может быть наложен штраф от 20 до 500 миллионов рублей в зависимости от общей выручки.
Ответственность за отказ от госуслуг без биометрии
Кроме того, новые нормы вводят ответственность за отказ в оказании государственных услуг из-за нежелания граждан предоставлять биометрические данные. Это касается как госорганов, так и многофункциональных центров. Должностным лицам за такое нарушение грозит штраф от 20 до 25 тысяч рублей или дисквалификация на срок до шести месяцев. Работники МФЦ и других организаций, оказывающих госуслуги, могут быть оштрафованы на сумму от 5 до 10 тысяч рублей.
Также вводится ответственность за отказ в заключении или изменении договора с клиентом, который не прошел идентификацию с биометрическими данными. За такие действия должностным лицам придется заплатить от 50 до 100 тысяч рублей, а юридическим лицам – от 200 до 500 тысяч рублей.
С введением новых штрафов, государственные органы и коммерческие структуры будут вынуждены более ответственно подходить к обработке личной информации граждан. В условиях растущих угроз информационной безопасности необходимость в строгом контроле и защите персональных данных становится как никогда актуальной, что, безусловно, должно увеличить уверенность граждан в защите их прав и свобод.
С введением новых мер усиливается административная ответственность за действия/бездействие оператора, повлекшие утечку персональных данных. Наказание будет впрямую зависеть от объема утечки: для юрлиц оно составит от 5 до 15 млн. руб. В случае повторной утечки —компании придется заплатить уже оборотный штраф: от 1 до 3% от ее прошлогоднего оборота.
Смягчающими обстоятельствами будет являться совокупность трех требований:
Ежегодные инвестиции в информационную безопасность оператора должны составлять не менее 0,1% от оборота или выручки в течение трех лет;
Отсутствие отягчающих обстоятельств (то есть непривлечение к административной ответственности);
Документальное подтверждение соблюдения требований к защите персональных данных. Однако в этом случае нарушителям все равно придется оплачивать штраф.
