Многомиллионные штрафы за персональные данные предложено дифференцировать
За невыполнение оператором данных обязанности по уведомлению Роскомнадзора о намерении проводить обработку персданных, Правительство предложило ввести штраф для юрлиц до 300 тыс. рублей. Также может появиться возможность вместо штрафов с процента выручки возместить пострадавшему ущерб и 3 года усилено вкладываться в защиту ПД.
Не рубить с плеча за данные
Административную ответственность за утечку персональных данных (ПД) специальной категории требуется дифференцировать в зависимости от характера административного правонарушения и степени общественного вреда, сказано в рекомендациях Правительства РФ к законопроекту о штрафах за оборот и утечки ПД. С документом ознакомился ТАСС.
Кабмин предлагает во втором чтении законопроекта о введении штрафов за нарушение отдельных требований законодательства в области персональных данных внести уточнения, касающиеся «соразмерности и возможности исполнения такого наказания».
«В качестве смягчающего административную ответственность обстоятельства следует предусмотреть осуществление оператором денежной компенсации предполагаемого вреда, нанесенного правам субъектов персональных данных, а также осуществление оператором существенных ежегодных расходов в течение не менее трех лет, предшествующих правонарушению, на мероприятия по обеспечению информационной безопасности персональных данных», – следует из документа.
Законопроект был внесен в Госдуму в декабре 2023 года группой сенаторов и депутатов во главе с первым вице-спикером Совфеда, секретарем генсовета «Единой России» Андреем Турчаком. Палата парламента приняла его в первом чтении на пленарном заседании в январе 2024 года.
«Проектируемые размеры административных штрафов нуждаются в уточнении на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к административной ответственности, что необходимо для достижения целей административного наказания», – указано в проекте отзыва.
Новыми частями предлагается дополнить ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных). В частности, за невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных предлагается ввести штраф:
- для граждан в размере от 5 тыс. до 10 тыс. рублей,
- для должностных лиц – от 30 тыс. до 50 тыс. рублей,
- для юрлиц – от 100 тыс. до 300 тыс. рублей.
Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, повлечет:
- для граждан штраф от 50 тыс. до 100 тыс. рублей,
- для должностных лиц – от 400 тыс. до 800 тыс. рублей,
- для юрлиц – от 1 млн до 3 млн рублей.
Также предлагается ввести штрафы на случай, если действия или бездействие оператора повлекли неправомерную передачу информации, включающей персональные данные от 1 тыс. до 10 тыс. субъектов персональных данных и (или) от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц.
В таком случае:
- гражданам будет грозить штраф от 100 тыс. до 200 тыс. рублей.
- должностным лицам – от 800 тыс. до 1 млн рублей,
- юрлицам – от 3 млн до 5 млн рублей.
В случае если аналогичное нарушение привело к неправомерной передаче информации, включающей персональные данные от 10 тыс. до 100 тыс. субъектов персональных данных и (или) от 100 тыс. до 1 млн идентификаторов, предлагается наказывать:
- граждан штрафом от 200 тыс. до 300 тыс. рублей,
- должностных лиц – от 1 млн до 1,5 млн рублей.
- юрлиц от 5 млн до 10 млн рублей.
Если нарушение привело к неправомерной передаче информации, включающей персональные данные более 100 тыс. субъектов персональных данных и (или) более 1 млн идентификаторов, то для
- граждан штраф от 300 тыс. до 400 тыс. рублей,
- должностных лиц – от 1,5 млн до 2 млн рублей.
- юридических лиц законопроектом предусмотрен штраф в размере от 10 млн до 15 млн рублей.
Законопроектом предусмотрены санкции на случай, если лицо уже было оштрафовано за действие или бездействие, повлекшее утечку данных, и совершило его снова:
- для граждан от 400 тыс. до 600 тыс. рублей.
- для должностных лиц от 2 млн до 4 млн рублей,
- для юридических лиц – от 0,1% до 3% совокупного размера суммы выручки за календарный год, предшествующий году, в котором было выявлено административное правонарушение. При этом штраф для юрлиц должен быть не менее 15 млн рублей и не более 500 млн рублей.
Документом предлагается ввести штрафы за действия или бездействие оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных, к примеру медицинских:
- для граждан от 300 тыс. до 400 тыс. рублей,
- для должностных лиц – от 1,5 до 2 млн рублей,
- для юрлиц – от 10 млн до 15 млн рублей.
Если такое нарушение совершило лицо, уже привлеченное к ответственности за аналогичные деяния, то штраф:
- для граждан от 500 тыс. до 800 тыс. рублей,
- для должностных лиц – от 3 млн до 5 млн рублей.
- для юрлиц от 0,1% до 3% совокупного размера суммы выручки, но не менее 20 млн рублей и не более 500 млн рублей.
Смягчить вину поддержкой пострадавшего
По мнению кабмина, предлагаемую административную ответственность за утечку персональных данных специальной категории требуется дифференцировать в зависимости от характера административного правонарушения и степени общественного вреда.
«В качестве смягчающего административную ответственность обстоятельства следует предусмотреть осуществление оператором денежной компенсации предполагаемого вреда, нанесенного правам субъектов персональных данных, а также осуществление оператором существенных ежегодных расходов в течение не менее трех лет, предшествующих правонарушению, на мероприятия по обеспечению информационной безопасности персональных данных”, – следует из документа.
Оператор, допустивший утечку данных, мог бы компенсировать нанесенный своим клиентам ущерб через портал «Госуслуг», сообщил замглавы Роскомнадзора Милош Вагнер.
Милош Вагнер, Роскомнадзор
Справедливым был бы следующий механизм: оператор, обнаруживший у себя утечку данных, должен сам обращаться к своим пользователям через госуслуги, сообщать им о случившемся и предлагать компенсацию.
Александр Хинштейн пояснил, что депутаты и Правительство РФ прислушались к мнению бизнеса и экспертного сообщества, и размер штрафов предлагается рассчитывать исходя из того количества субъектов персданных, которые попали в утечку.
Александр Хинштейн, Госдума
Главное, чтобы этот механизм не стал лазейкой для нарушителей, которые избегают ответственности.
Кроме того, кабмин предлагает включить в перечень обстоятельств, отягчающих административную ответственность по проектируемым нормам, совершение административного правонарушения, предусмотренного статьей 13.6 КоАП. Речь идет об использовании средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям.
«С учетом изложенного правительство Российской Федерации поддерживает законопроект при условии его доработки с учетом указанных замечаний», – указано в проекте отзыва.
Фото: Adobe Stock