* * *
26 ноября 2024 года были приняты сразу во втором и третьем чтениях законопроект об «оборотных» штрафах за утечки персональных данных («Правки в КоАП») и законопроект об уголовной ответственности за утечки персональных данных («Правки в УК»).
Оба документа претерпели ряд изменений с момента публикации нашего прошлого обзора.
Правки в КоАП
Напоминаем, что Правки в КоАП направлены, прежде всего, на борьбу с «утечками» персональных данных, однако касаются и других нарушений законодательства в сфере законодательства о персональных данных, а главной новеллой проектируемых статей является введение так называемых «оборотных» штрафов за «утечки» персональных данных. Законопроект вызвал оживленную дискуссию и спровоцировал критику бизнеса, в связи с чем был существенно доработан и претерпел ряд изменений с момента внесения в Государственную Думу.Несмотря на то, что данные Правки в КоАП не нуждаются в представлении, напомним, что они вводят новые виды ответственности за нарушение законодательства о персональных данных (в том числе за неуведомление об обработке персональных данных и неуведомление об утечках персональных данных), повышают имеющиеся размеры штрафов за нарушения законодательства о персональных данных, а также вводят «оборотные» штрафы за повторные «утечки» персональных данных.
Команда Denuo изучила проект, принятый в третьем чтении, и отмечает следующие основные нововведения по сравнению с первоначальным текстом:
«Оборотные» штрафы
- шкала «оборотных» штрафов, рассчитываемых на основании совокупного размера суммы выручки, полученной «от реализации всех товаров (работ, услуг)», претерпела изменения, и теперь составляет от 1 до 3 процентов (вместо ранее обсуждаемых 0.1 — 3 процентов);
- для кредитных организаций размер штрафов может составлять от 1 до 3 процентов размера «собственных средств (капитала) кредитной организации на дату совершения правонарушения»;
- нижняя планка «оборотных» штрафов увеличена и составляет 20 млн рублей (ранее составляла 15 млн рублей), а в случае утечек особых категорий персональных данных и/или биометрических данных — 25 млн рублей;
- анонсированы «отягчающие обстоятельства»:
- в случае продолжения противоправного поведения (п. 1 ч. 1 ст. 4.3 КоАП); а также
- если лицо на момент правонарушения или постановления по делу о правонарушении подверглось административному наказанию за нарушение законодательства о персональных данных или защите информации;
- анонсированы «смягчающие обстоятельства» — в случае, если соблюдаются одновременно все следующие условия:
- расходы оператора в предшествующие 3 (три) года на мероприятия по обеспечению кибербезопасности, проведенные лицензированной организацией, составляли не менее 0.1% выручки;
- документально подтвержденного факта соблюдения требований к защите персональных данных при их обработке в информационных системах в предшествующие 12 месяцев; и
- отсутствовали «отягчающие обстоятельства», указанные выше;
- уточнено понятие «идентификатор», используемое для определения масштабов «утечки» — теперь под ним понимается «уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу».
- новые штрафы — за утечки биометрических персональных данных (до 20 млн рублей), в случае повторных утечек — «оборотные» штрафы (но не менее 25 млн рублей);
- неуведомление о случайных утечках — теперь тоже может повлечь наложение штрафов (ранее норма распространялась только на факты неправомерных утечек);
- размеры штрафов для должностных лиц снижены в среднем на 50%;
- переходный период до вступления Правок в КоАП в силу увеличен до 180 дней (ранее предусматривался срок в 30 дней).
В финальную версию законопроекта не вошли ранее обсуждаемые нормы о страховании и денежных компенсациях пользователям, чьи персональные данные попали в утечки. Общий лимит страхового покрытия таких рисков обсуждался в диапазоне от 5 млн до 1 млрд рублей в зависимости от объема обрабатываемых персональных данных, а размер компенсации пользователям предполагался в размере от 1 000 до 5 000 рублей на субъекта.
Правки в УК
Авторы Правок в УК также предлагают добавить в УК статью 272.1 («проектируемая статья»), устанавливающую новые составы преступлений в сфере персональных данных.Напоминаем, что проектируемая статья предусматривает наказание за незаконные использование, передачу, сбор и хранение «компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем».
Команда Denuo изучила проект, принятый в третьем чтении, и отмечает следующие основные нововведения по сравнению с первоначальным текстом:
- В тексте первой части проектируемой статьи Правок в УК, «за незаконное использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные», в качестве альтернативного штрафа теперь предусматривается штраф в размере «заработной платы или иного дохода за период до одного года»;
- Часть вторая проектируемой статьи, устанавливающая повышенную ответственность за утечки специальных категорий персональных данных и биометрических персональных данных, пополнилась новой категорией — теперь повышенная ответственность также предусматривается для персональных данных несовершеннолетних;
- Третья часть проектируемой статьи теперь предусматривает штраф в повышенном размере — в размере заработной платы или иного дохода за период до трех лет (было — до двух лет).
Мы продолжаем следить за новостями и подготовим финальный обзор изменений, когда оба законопроекта будут подписаны Президентом.