Все новости права

Законопроект об «оборотных» штрафах и уголовной ответственности за утечки персональных данных принят сразу во втором и третьем чтениях

новости права
26 / 11 / 2024
UPD: По состоянию на 30 ноября 2024 года Правки в КоАП и Правки в УК были опубликованы. Для Правок в КоАП предусмотрен переходный период — у бизнеса есть 180 дней (с момента опубликования) до вступления в силу новых штрафов за утечки персональных данных. В этой связи, особенно в условиях проводимой последние несколько лет реформы законодательства о персональных данных, мы рекомендуем компаниям провести внутренний аудит процессов обработки персональных данных, в ходе которого установить, соблюдаются ли все требования законодательства о защите персональных данных, а в случае выявления несоответствий — в кратчайшие сроки предпринять необходимые меры.

*  *  *

26 ноября 2024 года были приняты сразу во втором и третьем чтениях законопроект об «оборотных» штрафах за утечки персональных данных («Правки в КоАП») и законопроект об уголовной ответственности за утечки персональных данных («Правки в УК»).

Оба документа претерпели ряд изменений с момента публикации нашего прошлого обзора.

Правки в КоАП

Напоминаем, что Правки в КоАП направлены, прежде всего, на борьбу с «утечками» персональных данных, однако касаются и других нарушений законодательства в сфере законодательства о персональных данных, а главной новеллой проектируемых статей является введение так называемых «оборотных» штрафов за «утечки» персональных данных. Законопроект вызвал оживленную дискуссию и спровоцировал критику бизнеса, в связи с чем был существенно доработан и претерпел ряд изменений с момента внесения в Государственную Думу.

Несмотря на то, что данные Правки в КоАП не нуждаются в представлении, напомним, что они вводят новые виды ответственности за нарушение законодательства о персональных данных (в том числе за неуведомление об обработке персональных данных и неуведомление об утечках персональных данных), повышают имеющиеся размеры штрафов за нарушения законодательства о персональных данных, а также вводят «оборотные» штрафы за повторные «утечки» персональных данных.

Команда Denuo изучила проект, принятый в третьем чтении, и отмечает следующие основные нововведения по сравнению с первоначальным текстом:

«Оборотные» штрафы


  • шкала «оборотных» штрафов, рассчитываемых на основании совокупного размера суммы выручки, полученной «от реализации всех товаров (работ, услуг)», претерпела изменения, и теперь составляет от 1 до 3 процентов (вместо ранее обсуждаемых 0.1 — 3 процентов);
  • для кредитных организаций размер штрафов может составлять от 1 до 3 процентов размера «собственных средств (капитала) кредитной организации на дату совершения правонарушения»;
  • нижняя планка «оборотных» штрафов увеличена и составляет 20 млн рублей (ранее составляла 15 млн рублей), а в случае утечек особых категорий персональных данных и/или биометрических данных — 25 млн рублей;
  • анонсированы «отягчающие обстоятельства»: 
    • в случае продолжения противоправного поведения (п. 1 ч. 1 ст. 4.3 КоАП); а также 
    • если лицо на момент правонарушения или постановления по делу о правонарушении подверглось административному наказанию за нарушение законодательства о персональных данных или защите информации;
  • анонсированы «смягчающие обстоятельства» — в случае, если соблюдаются одновременно все следующие условия: 
    • расходы оператора в предшествующие 3 (три) года на мероприятия по обеспечению кибербезопасности, проведенные лицензированной организацией, составляли не менее 0.1% выручки; 
    • документально подтвержденного факта соблюдения требований к защите персональных данных при их обработке в информационных системах в предшествующие 12 месяцев; и 
    • отсутствовали «отягчающие обстоятельства», указанные выше;
  • уточнено понятие «идентификатор», используемое для определения масштабов «утечки» — теперь под ним понимается «уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу».
Прочие изменения

  • новые штрафы — за утечки биометрических персональных данных (до 20 млн рублей), в случае повторных утечек — «оборотные» штрафы (но не менее 25 млн рублей);
  • неуведомление о случайных утечках — теперь тоже может повлечь наложение штрафов (ранее норма распространялась только на факты неправомерных утечек);
  • размеры штрафов для должностных лиц снижены в среднем на 50%;
  • переходный период до вступления Правок в КоАП в силу увеличен до 180 дней (ранее предусматривался срок в 30 дней).

В финальную версию законопроекта не вошли ранее обсуждаемые нормы о страховании и денежных компенсациях пользователям, чьи персональные данные попали в утечки. Общий лимит страхового покрытия таких рисков обсуждался в диапазоне от 5 млн до 1 млрд рублей в зависимости от объема обрабатываемых персональных данных, а размер компенсации пользователям предполагался в размере от 1 000 до 5 000 рублей на субъекта.

Правки в УК

Авторы Правок в УК также предлагают добавить в УК статью 272.1 («проектируемая статья»), устанавливающую новые составы преступлений в сфере персональных данных.

Напоминаем, что проектируемая статья предусматривает наказание за незаконные использование, передачу, сбор и хранение «компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем».

Команда Denuo изучила проект, принятый в третьем чтении, и отмечает следующие основные нововведения по сравнению с первоначальным текстом:

  • В тексте первой части проектируемой статьи Правок в УК, «за незаконное использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные», в качестве альтернативного штрафа теперь предусматривается штраф в размере «заработной платы или иного дохода за период до одного года»;
  • Часть вторая проектируемой статьи, устанавливающая повышенную ответственность за утечки специальных категорий персональных данных и биометрических персональных данных, пополнилась новой категорией — теперь повышенная ответственность также предусматривается для персональных данных несовершеннолетних;
  • Третья часть проектируемой статьи теперь предусматривает штраф в повышенном размере — в размере заработной платы или иного дохода за период до трех лет (было — до двух лет).

Мы продолжаем следить за новостями и подготовим финальный обзор изменений, когда оба законопроекта будут подписаны Президентом.
подписаться на рассылку