Оборотные штрафы и уголовная ответственность: во 2-м и 3-м окончательном чтениях принят законопроект, ужесточающий наказание за утечку персональных данных.

Госдума приняла во 2-м и 3-м окончательном чтениях пакет законопроектов, который ужесточает административную и вводит уголовную ответственность за утечку персональных данных.

Наказание будет впрямую зависеть от объема утечки. Глава IT-комитета Госдумы поясняет изменения. Поправки в КоАП увеличивают штрафы за незаконную обработку данных: в случае повторного нарушения предлагается установить штрафы для граждан до 30 тысяч рублей, для должностных лиц до 200 тысяч, для юрлиц до 500 тысяч рублей.
Впервые вводятся оборотные штрафы. При этом на прошлой неделе глава Минцифры пояснял, что в законопроекте об оборотных штрафах за утечку персональных данных не будет норм о страховании и денежных компенсациях пользователям, чьи данные утекли.
За незаконное распространение от 1 тысячи до 10 тысяч субъектов персональных данных или от 10 тысяч до 100 тысяч идентификаторов предлагается установить штрафы: для граждан — в размере от 100 тысяч до 200 тысяч рублей; для должностных лиц − от 200 тысяч до 400 тысяч рублей; для юридических лиц − от 3 миллионов до 5 миллионов рублей.
За массовую утечку данных (более 100 тысяч субъектов ПД или более 1 миллиона идентификаторов) штрафы вырастают до 400 тысяч, 600 тысяч и до 15 миллионов рублей. При повторных нарушениях штрафы вырастут до 600 тысяч рублей для граждан и до 1,2 миллиона для должностных лиц, для юридических лиц − от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год.
Уголовная ответственность вводится за создание сайта или страницы на нем, заведомо предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) информации, содержащей персональные данные, полученной незаконным путем. За это грозит лишение свободы до пяти лет.
Незаконные использование, передача, сбор и хранение персональных данных, полученных путем неправомерного доступа к средствам их обработки, хранения или иного вмешательства в их функционирование, грозят заключением до четырех лет. В случае если действия повлекли тяжкие последствия либо совершены организованной группой, то вводится наказание в виде заключения сроком на срок до десяти лет.
Поправки вносят в статью об административных правонарушениях за нарушение требований о сборе персональных данных (13.11 КоАП). Закон вступит в силу с 1 марта 2025 года.
«В соответствии с законом, согласие на обработку персональных данных должно будет оформляться отдельно от других документов, в том числе клиентских договоров. Кроме того, предлагается запретить продавцу или владельцу агрегатора ограничивать доступ потребителя к информации в связи с отказом предоставить персональные данные за исключением случаев, когда такая обязанность предусмотрена законом», — сообщила пресс-служба Думы.
В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в свою информационную безопасность не ниже 0,1% от оборота в течение трёх лет; отсутствие привлечения к административной ответственности по ряду составов, связанных с информационной безопасностью; документальное подтверждение соблюдения требований к защите персданных.