В Госдуму внесен законопроект об «оборотных» штрафах и уголовной ответственности за утечки персональных данных

После участившихся случаев утечек персональных данных в 2022 году на законодательном уровне началось обсуждение необходимости введения новых мер ответственности за нарушения в сфере персональных данных. Однако разработка нового законопроекта о таких мерах затянулась до конца 2023 года.

Тем не менее рабочей группе депутатов Госдумы и сенаторов Совета Федерации все же удалось завершить работу над поправками — 4 декабря 2023 года в Госдуму наконец были внесены два законопроекта о внесении поправок в Кодекс РФ об административных правонарушениях («КоАП РФ») и Уголовный кодекс РФ («УК РФ»).

Одними из наиболее важных поправок в КоАП РФ является введение мер ответственности за «утечки» персональных данных.

Так, согласно новым частям 12–14 статьи 13.11 КоАП РФ, за действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, может быть назначен крупный административный штраф, размер которого будет зависеть от количества пострадавших субъектов персональных данных. Так, если «утечка» коснется:

• от 1 тыс. до 10 тыс. субъектов или от 10 тыс. до 100 тыс. идентификаторовСогласно законопроекту, под идентификаторами понимаются уникальные обозначения сведений о физических лицах, необходимые для определения таких лиц., то штраф для юридических лиц составит от 3 млн до 5 млн рублей;
• от 10 тыс. до 100 тыс. субъектов, или от 100 тыс. до 1 млн идентификаторов — от 5 млн до 10 млн рублей;
• более 100 тыс. субъектов или более 1 млн идентификаторов — от 10 млн до 15 млн рублей.

В случае, если оператор — юридическое лицо в течение года после привлечения к ответственности совершит подобное нарушение, то на него может быть наложен «оборотный» штраф в размере от 0,1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо соответствующую часть календарного года, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году. Однако подобный штраф в любом случае не может быть меньше 15 млн или больше 500 млн рублей.

При этом, если действия (бездействия) оператора повлекут неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данныхПерсональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни., то оператор может быть подвергнут административному штрафу (для юридических лиц в размере от 10 до 15 млн руб.) вне зависимости от количества пострадавших субъектов. За повторное нарушение оператору по такой же логике может быть назначен и «оборотный» штраф.

Вместе с тем авторы новых законопроектов не остановились только на административной ответственности. В частности, предлагается ввести в УК РФ статью 272.1, устанавливающую новые составы преступлений.

Так, за незаконное использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, может быть назначен штраф до 300 тыс. рублей, либо нарушителю могут быть назначены принудительные работы или лишение свободы на срок до 4 лет.

В ситуации, когда подобное нарушение будет сопряжено с трансграничной передачей данных или трансграничным перемещением носителей, то срок лишения свободы может увеличиваться до 8 лет со штрафом в размере до 2 млн рублей.

А в случае, если такое нарушение повлечет тяжкие последствияК таковым будут относиться временная приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы персональных данных, распространение компьютерной информации, содержащей персональные данные, неограниченному кругу лиц и (или) предоставление или доступ к ней третьим лицам с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне и (или) безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям. или будет совершено в составе организованной группы, наказание может доходить уже до 10 лет лишения свободы со штрафом в размере до 3 млн рублей.

Вторым типом преступления, введенным данной статьей, является создание и/или обеспечение функционирования информационных ресурсов (сайта в интернете и (или) страницы сайта в интернете, информационной системы, программы для электронных вычислительных машин), заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные.

За данное нарушение установлены разные виды уголовной ответственности, самый строгий из которых представляет собой лишение свободы сроком до 5 лет со штрафом до 700 тыс. рублей и с лишением права заниматься определенной деятельностью или занимать определенные должности до 2 лет.

Новые меры ответственности, вводимые рассматриваемыми законопроектами, существенно повышают необходимость имплементации и поддержания полноценной системы комплаенса лицами, обрабатывающими персональные данные. В данном случае речь идет не только о реализации технических мер защиты информации, но также и о поддержании соответствующих бизнес-процессов внутри компании, минимизирующих риск человеческого фактора при работе с персональными данными. Такая система комплаенса включает не только формальное принятие политик и других внутренних документов, но также проведение тренингов для сотрудников, контроль исполнения соответствующих политик и документов, понятные инструкции для сотрудников на случай различных инцидентов в области информационной безопасности и т. д.

В наших следующих публикациях мы расскажем о том, на что следует обратить внимание при построении такой системы комплаенса и как ее выстроить в компании.