26 ноября 2024 года Государственной Думой приняты законы, ужесточающие ответственность в сфере персональных данных.
Речь идет о:
1. Федеральном законе «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
Внесенные изменения в КоАП РФ касаются различных аспектов регулирования административной ответственности за правонарушения, связанные с персональными данными, биометрическими технологиями и иным.
В рамках нового законодательства будет введена административная ответственность для операторов, допустивших незаконную передачу сведений о физических лицах.
Напомним! Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных).
Например, управляющая организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Так, за утечку персональных данных в количестве от 1 тысячи до 10 тысяч человек предусмотрены штрафы: должностным лицам государственного или муниципального органа, а также некоммерческой организации – от 200 тысяч до 400 тысяч рублей, индивидуальным предпринимателям и юридическим лицам, кроме некоммерческих организаций – от 3 миллионов до 5 миллионов рублей.
Такие же суммы штрафов предусмотрены за утечку от 10 тысяч до 100 тысяч идентификаторов физических лиц, которые представляют собой уникальные обозначения в информационных системах операторов. В случае более масштабных происшествий штрафы увеличатся.
В частности, штраф за утечку от 10 000 до 100 000 персональных данных или от 100 000 до 1 млн идентификаторов для должностных лиц составит от 300 тысяч до 500 тысяч руб., а для юридических лиц — от 5 до 10 млн руб.
Штраф за массовую утечку данных (более 100 000 субъектов персональных данных или более 1 млн идентификаторов) для должностных лиц может достигнуть 600 тысяч руб., для юридических лиц дорасти до 15 млн руб.
При повторных нарушениях штрафы будут составят:
– для должностных лиц — до 1,2 млн руб.
– для юридических лиц — от 1 до 3 % совокупной выручки, которую компания получила за год, предшествующий правонарушению. Размер штрафа будет не менее 20 и не более 500 млн руб.
Неправомерное распространение персональных данных специальных категорий повлечет штраф для должностных лиц – от 1 миллиона до 1,3 миллиона рублей, а для индивидуальных предпринимателей и юридических лиц – от 10 миллионов до 15 миллионов рублей.
Также будут ужесточены наказания за непредставление Роскомнадзору необходимых уведомлений.
В случае несообщения Роскомнадзору о факте утечки, нарушившей права субъектов персональных данных, будут назначены штрафы: для должностных лиц государственного или муниципального органа, а также некоммерческой организации – от 400 тысяч до 800 тысяч рублей, для индивидуальных предпринимателей и юридических лиц – от 1 миллиона до 3 миллионов рублей.
За неуведомление органа по защите прав субъектов персональных данных о намерении обрабатывать личную информацию предусмотрены штрафы для должностных лиц – от 30 тысяч до 50 тысяч рублей, для индивидуальных предпринимателей и юридических лиц – от 100 тысяч до 300 тысяч рублей. Те же штрафы будут применяться к тем, кто уведомил Роскомнадзор несвоевременно.
Изменения также коснулись других статей КоАП РФ, в части ответственности в сфере обработки биометрических данных, штрафов для кредитных организаций, процедур и сроков рассмотрения дел об административных правонарушениях, связанных с персональными данными, и уточнения компетенции органов в части привлечения к административной ответственности, иного.
Поправки вступят в силу через 180 календарных дней после опубликования закона.
Как мы ранее писали, Ассоциация «Новое качество» с первых шагов заявляла свои возражения против такого усиления ответственности в рассматриваемой сфере, указывая на то, что уравнивание абсолютно всех субъектов предпринимательской деятельности в сфере обработки персональных данных без учета специфики их деятельности нецелесообразно. Размеры вводимых административных штрафных санкций явно несоразмерны с потенциальными рисками деятельности, осуществляемой в сфере ЖКХ, а их дальнейшее применение к управляющим организациям может привести к ряду существенных отрицательных последствий и для отрасли в целом.
2. Федеральном законе «О внесении изменений в Уголовный кодекс Российской Федерации».
В результате внесенных изменений в УК РФ установлена ответственность за незаконное использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные.
Основное нововведение заключается в добавлении статьи 2721, которая устанавливает ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. В первой части статьи предусмотрены наказания за незаконные действия с такой информацией, включая штрафы до 300 тысяч рублей, принудительные работы или лишение свободы на срок до четырех лет. Если такие действия совершаются с персональными данными несовершеннолетних, специальными категориями или биометрическими данными, наказание усиливается до штрафа в 700 тысяч рублей и лишения свободы на срок до пяти лет.
Статья также вводит более строгие наказания за деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц или с использованием служебного положения. В таких случаях штраф может достигать одного миллиона рублей, а лишение свободы — шести лет. Еще более строго наказываются деяния, сопряженные с трансграничной передачей данных, где лишение свободы может составлять до восьми лет, а штраф — до двух миллионов рублей.
Наказания усиливаются до десяти лет лишения свободы и трех миллионов рублей штрафа, если деяния повлекли тяжкие последствия или были совершены организованной группой. Также статья 2721 устанавливает ответственность за создание или обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного обращения с персональными данными, с аналогичными мерами наказания.
За совершение обозначенных преступлений может быть применено наказание в виде лишения права занимать определенные должности или заниматься определенной деятельностью.
Примечания к статье уточняют, что ее действие не распространяется на обработку данных физическими лицами для личных нужд, и определяют понятие трансграничного перемещения носителей информации, что представляет совершение действий по ввозу на территорию Российской Федерации и (или) вывозу с территории Российской Федерации машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлены запись и хранение такой информации.
[МВР3]https://sozd.duma.gov.ru/bill/502113-8