Депутаты Госдумы 26 ноября на пленарном заседании приняли сразу несколько поправок в законы, касающихся персональных данных.

Рассказываем подробно, как будут действовать новые меры.

Штрафы за утечку персональных данных

Госдума приняла на пленарном заседании сразу во втором и третьем чтениях законопроект о введении штрафов за нарушение отдельных требований законодательства в области персональных данных.

Согласно законопроекту, изменения вносятся в статью 13.11 КоАП РФ («Нарушение законодательства РФ в области персональных данных»). Они предполагают штраф для операторов, если они не уведомили и (или) несвоевременно уведомили Роскомнадзор о намерении осуществлять обработку персональных данных. Граждане за это нарушение должны будут заплатить от 5 до 10 тысяч рублей, должностные лица — от 30 до 50 тысяч рублей, юридические лица — от 100 до 300 тысяч рублей.

При неправомерной или случайной утечке персональных данных для граждан предусмотрен штраф от 50 до 100 тысяч рублей. Для должностных лиц он составит от 400 до 800 тысяч рублей, для юрлиц — от 1 до 3 миллионов рублей.

Законопроект предусматривает штрафы на случай, если действия или бездействие оператора повлекли неправомерную передачу информации, включающей персональные данные от 1 до 10 тысяч человек и (или) от 10 до 100 тысяч идентификаторов, если эти данные не содержат признаков уголовно наказуемого деяния. В этом случае гражданам будет грозить штраф от 100 до 200 тысяч рублей, для должностных лиц — от 200 до 400 тысяч рублей. Штраф для юридических лиц составит от 3 до 5 миллионов рублей.

Если аналогичное нарушение привело к неправомерной передаче информации, включающей персональные данные от 10 до 100 тысяч человек и (или) от 100 тысяч до 1 миллиона идентификаторов, то граждан будут штрафовать на сумму от 200 до 300 тысяч рублей, должностных лиц — от 300 до 500 тысяч рублей, юрлиц — от 5 до 10 миллионов рублей.

При утечке 100 тысяч персональных данных и (или) более 1 миллиона идентификаторов гражданам может грозить штраф от 300 до 400 тысяч рублей, должностным лицам — от 400 до 600 тысяч рублей, а юридическим лицам — от 10 до 15 миллионов рублей.

Документом предусмотрены санкции на случай, если человека уже штрафовали за аналогичные действия. Штраф для граждан в этом случае составит от 400 до 600 тысяч рублей, для должностных лиц — от 800 тысяч до 1,2 миллиона рублей. Юридические лица должны будут заплатить от 1 до 3% совокупного размера суммы выручки, но не менее 20 миллионов рублей и не более 500 миллионов рублей.

Наказание за сайт для незаконного оборота персональных данных

Госдума приняла во втором и третьем чтениях законопроект о введении уголовной ответственности за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных. Документ предусматривает ответственность за незаконные использование и оборот компьютерной информации, содержащей персональные данные.

Уголовный кодекс РФ дополнен статьёй 272.1 («Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения и (или) распространения»). Статья не будет распространяться на случаи, когда гражданин обрабатывает персональные данные для личных и семейных нужд.

За создание или обеспечение функционирования сайта, страницы сайта, информационной системы или программы, заведомо предназначенных для незаконного оборота компьютерной информации, содержащей персональные данные, полученные незаконным путём, предусмотрено наказание в виде штрафа до 700 тысяч рублей либо принудительных работ или лишения свободы на срок до пяти лет с аналогичным штрафом.

При этом за незаконное использование или оборот информации, полученной с помощью неправомерного доступа, вводится наказание в виде штрафа до 300 тысяч рублей, четырёх лет лишения свободы или принудительных работ на аналогичный срок.

За такое же деяние, совершённое в отношении информации, содержащей персональную информацию несовершеннолетних или биометрические данные, предусмотрен штраф до 700 тысяч рублей, либо принудительные работы на срок до пяти лет или лишение свободы на тот же срок.

Законопроектом предусмотрено наказание для случаев, если преступление совершено из корысти или группой лиц по предварительному сговору, с причинением крупного ущерба или использованием служебного положения. Для таких случаев предусмотрен штраф до 1 миллиона рублей, принудительные работы на срок до пяти лет с аналогичным штрафом и лишение свободы на срок до шести лет со штрафом до 1 миллиона рублей.

Биометрические данные

Ещё один законопроект, который депутаты приняли во втором и третьем чтениях, касается расширения перечня нарушений, связанных с обработкой биометрических персональных данных.

Согласно документу, статья 13.11.3 Кодекса РФ об административных правонарушениях («Нарушение требований в области размещения биометрических персональных данных») дополняется новыми частями.

За нарушение порядка обработки биометрических персональных данных в единой биометрической системе, информационных системах госорганов, Центробанка РФ или аккредитованных организаций введены штрафы для должностных лиц в размере от 100 до 300 тысяч рублей, для юридических — от 500 тысяч до 1 миллиона рублей.

Если организация не принимает меры по обеспечению безопасности биометрических данных при их обработке в ЕБС или других информационных системах, обеспечивающих аутентификацию с использованием биометрии, то должностным лицам будет грозить штраф от 300 до 500 тысяч рублей, а юридическим — от 1 до 1,5 миллионов рублей.

Госдума приняла поправку о введении штрафов за отказ в предоставлении гражданам госуслуг на основании их нежелания сдавать биометрические персональные данные.

Изменения будут внесены в статью 5.63 КоАП РФ («Нарушение законодательства об организации предоставления государственных и муниципальных услуг»). Речь идёт об отказах в предоставлении услуг со стороны органов госвласти, местного самоуправления или государственного внебюджетного фонда РФ, а также работников МФЦ и Роскадастра.

Должностные лица за это нарушение могут заплатить штраф от 20 до 25 тысяч рублей или быть дисквалифицированы на шесть месяцев. Дисквалификация на тот же срок грозит и работникам Роскадастра и МФЦ. Штраф для них при совершении правонарушения может составить от 5 до 10 тысяч рублей.

Персональные данные детей

Госдума приняла поправку, которой предлагается ввести наказание до пяти лет лишения свободы за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные детей.

Поправка дополняет Уголовный кодекс РФ статьёй 272.1 («Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения и (или) распространения»).

Согласно нововведению, незаконное использование или оборот компьютерной информации, содержащей персональные данные несовершеннолетних лиц, будет наказываться штрафом до 700 тысяч рублей, принудительными работами на срок до пяти лет или лишением свободы на такой же срок.

Медицинские персональные данные

Депутаты приняли во втором и третьем чтениях законопроект, который в том числе вводит штрафы за действия, повлёкшие неправомерную передачу информации, касающейся состояния здоровья.

Документ вводит штрафы за действия или бездействие оператора, повлёкшие неправомерную передачу информации, включающей специальную категорию персональных данных. К таким данным относится в том числе информация о состоянии здоровья. Гражданам грозит от 300 до 400 тысяч рублей штрафа, должностным лицам — от 1 до 1,3 миллиона рублей, юрлицам — от 10 до 15 миллионов рублей.

Вводятся санкции за действия (бездействие) оператора, повлёкшие утечку информации, включающей биометрические персональные данные. Штраф в этом случае составит для граждан от 400 до 500 тысяч рублей, для должностных лиц — от 1,3 до 1,5 миллионов рублей. Штраф для юридических лиц составит от 15 до 20 миллионов рублей.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.

С января 2023 года в Сеть утекли порядка 200 миллионов записей о россиянах. При этом совокупный размер штрафов для компаний, допустивших утечки, составил всего 1,3 миллиона рублей. Об этом сообщил заместитель руководителя Роскомнадзора Милош Вагнер.

По его словам, сегодня под прицелом хакеров оказываются в основном мелкие российские компании, а также организации, которые не успели принять меры информационной безопасности.

«Мы эту ситуацию четко увязываем с началом специальной военной операции. Ранее источником личной информации и персональных данных наших граждан были заблокированные в России запрещенные социальные сети. После блокировки зарубежных площадок западные спецслужбы лишились возможности сбора и анализа этой информации. Поэтому они пошли по пути взломов и кражи чувствительной информации, которая накапливается российскими организациями», — указал господин Вагнер.

В России необходимо ужесточить ответственность за утечки персональных данных, считает заместитель председателя правления Регионального общественного центра интернет-технологий (РОЦИТ) Вадим Ампелонский.

«В этом году компании, допустившие попадание в открытый доступ 200 миллионов записей, были оштрафованы только на 1,3 миллиона рублей. Это ни о чём! Пора вводить оборотные штрафы и принимать прочие меры. Надо максимально ужесточить ответственность за утечки, чтобы стимулировать отечественные организации относиться к защите персональных данных своих клиентов максимально ответственно», — указал эксперт в интервью «Ридусу».

Халатность российских компаний зачастую приводит к утечкам персональных данных военных, государственных служащих, сотрудников оборонных предприятий, прокуроров и судей, обратил внимание Ампелонский.

«Западные и украинские спецслужбы могут получить эти данные, чтобы потом пытаться манипулировать людьми, в том числе через их детей. Уже был случай, когда во Владимире чиновница метнула в местный военкомат три „коктейля Молотова“. В СМИ пишут, что некие телефонные мошенники пообещали списать ей многомиллионные долги по кредитам, если она подожжет военный комиссариат. Как правило, достаточно номера телефона, имени, фамилии, отчества, чтобы ввести человека в заблуждение или получить доступ к информации о его финансовом состоянии», — заявил собеседник «Ридуса».

Вадим Ампелонский уверен, что в обозримом будущем «работа с персональными данными граждан России должна быть приравнена к работе с государственной тайной».

«Сейчас мы исходим из постулата о том, что обработка личных данных в больших объемах — благо, позволяющее коммерческим организациям улучшать свои сервисы. Это, на мой взгляд, неприемлемо, ведь речь идет о безопасности всех сфер жизни российского общества. Я думаю, право работать с персональными данными — прерогатива государства. А всевозможные компании смогут получать к ним доступ лишь в том случае, если они продемонстрируют высочайший уровень защиты», — заключил эксперт.

В то же время ответственность за безопасность персональных данных «отчасти лежит и на самих пользователях», рассказал ранее «Ридусу» руководитель рабочей группы Общественной палаты РФ по законодательству в сфере интернет-технологий и цифровизации Вадим Виноградов.

«В последнее время люди активно пользуются VPN-сервисами, через которые сталкиваются с вредоносными программами, ворующими личные данные. Нужно не забывать, что многие VPN-сервисы не гарантируют безопасность, поэтому они весьма популярны у всякого рода киберпреступников», — отметил Виноградов.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.

Президент России Владимир Путин поручил правительству рассмотреть до 1 июля 2023 году вопрос о введении в стране оборотных штрафов в отношении компаний, допускающих утечку персональных данных граждан. 

Также кабмин к тому же сроку обязан рассмотреть вопрос об усилении ответственности за незаконный оборот личных данных.

«Разговоры о необходимости оборотных штрафов, как это давно сделано в других странах, в России ведутся давно. Теперь есть поручение президента, а это означает, что, во-первых, проблема признана на самом высоком уровне, а во-вторых, появилась уверенность в том, что борьба с утечками персональных данных будет вестись более эффективно», — прокомментировал IT-эксперт Илья Костунов «Ридусу».

Теперь у компаний появится мотивация вкладывать средства в информационную безопасность своих ресурсов, добавил Костунов. 

«Краденые или оказавшиеся в открытом доступе персональные данные используется для совершения различных преступных и мошеннических действий. Поэтому недобросовестное отношение к их сохранности недопустимо. Вероятно, стоит также предусмотреть какую-то систему поощрения для компаний, которые эффективно заботятся о безопасности данных клиентов. В этом вопросе, на мой взгляд, нужно использовать не только кнут, но и пряник», — заключил эксперт. 

Ранее Илья Костунов рассказал «Ридусу», что о безопасности персональных данных российские компании волнуются мало, поскольку в стране отсутствует «адекватное наказание за утечку конфиденциальной информации». 

Похожее мнение выразила в беседе с «Ридусом» директор по консалтингу ГК InfoWatch Ирина Зиновкина.

«Небольшой денежный штраф несопоставим с существенными затратами компаний на внедрение и поддержку целого комплекса средств защиты информации», — сказала она. 

В конце прошлого года Минцифры РФ подготовило законопроект о введении оборотных штрафов утечку персональных данных пользователей. Согласно документу, сумма таких штрафов может составить до 3% от оборота компании.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.