В Госдуму внесен законопроект с весьма ощутимыми штрафами за утечки персональных данных

При этом штрафы за повторные утечки предложено сделать оборотными - в процентах от годовой выручки фирмы или ИП. Кроме того, Госдума приняла в третьем чтении повышение штрафов за обработку персданных без согласия их обладателя, а также - новые штрафы за нарушения при размещении биометрических данных.

Группа депутатов и сенаторов на днях внесла внесла в Госдуму законопроект с поправками в КоАП, направленными на защиту персональных данных от утечек (502104-8).

За слив базы – не больше 100 тысяч

В настоящее время в этом кодексе имеется статья 13.11, посвящённая нарушениям законодательства в области персональных данных. Их обработка в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора таких данных, организациям сейчас обходится в суммы от 60 до 100 тысяч рублей, должностным лицам – от 10 до 20 тысяч. В случае повторного совершения таких нарушений грозят штрафы в среднем в два-три раза выше.

В законопроекте данные штрафы предложено повысить в 2,5 – 3 – 5 раз.

Штрафы по этой норме сейчас применяются в том числе и в случае утечек персональных данных, указали авторы законопроекта. Они считают, что такие штрафы не соразмерны с возможными последствиями от произошедших утечек. Злоумышленники могут использовать эти сведения для спам-звонков, шантажа, мошенничества и других более тяжких преступлений. Так что утечки надо вывести в отдельные составы. Это простимулирует операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности и в защиту сведений.

До 3% годовой выручки

В этой связи указанную статью КоАП предлагается дополнить новыми пунктами. Это, в частности, будут наказания за действия или бездействие оператора, повлекшие утечку персональных данных. При этом штрафы, по замыслу авторов, должны варьироваться в зависимости от объёма утекшей информации. За сведения об 1-10 тысячах граждан, или за утечку 10-100 тысяч идентификаторов предложено штрафовать юрлиц на суммы от 3 до 5 млн рублей. Если утекли сведения 10-100 тысяч граждан либо от 100 тысяч до 1 млн идентификаторов, то штраф составит для организаций от 5 до 10 млн рублей. Если распространены сведения о более чем 100 тысячах граждан или более 1 млн идентификаторов, то для организаций предложен штраф от 10 до 15 млн рублей.

При повторных нарушениях штрафы для бизнеса согласно законопроекту становятся оборотными, то есть, зависящими от выручки соответствующего субъекта. При этом берётся полная годовая выручка от реализации за предшествующий год. Организации рискуют потерять таким образом от 0,1% до 3% такой выручки. Если за предыдущий год выручки не было, то в расчёт может быть взята выручка за текущий год до момента выявления правонарушения.

Также штраф от 10 до 15 млн рублей предложено установить за утечку информации, включающей специальную категорию персональных данных. За повторное такое нарушение предложен оборотный штраф – такой же, как указан выше.

Кроме того, если в случае утечки обнаружится, что оператор в своё время не уведомил Роскомнадзор об обработке персональных данных, то случае принятия законопроекта будет грозить еще дополнительно штраф. Потолок – до 3 млн рублей для юрлиц.

ИП – наравне с организациями

Предлагается также оговорить, что за эти нарушения ИП несут ответственность такую же, как юрлица. При этом также авторы указали в примечаниях, что к юрлицам в целях этих штрафов не относятся госорганы, государственные или муниципальные учреждения. Для них в случае принятия проекта утечки персональных данных, видимо, останутся безнаказанными.

В пакете документов, внесённых вместе с законопроектом, имеется отзыв правительства, датированный ещё сентябрем. В отзыве названы некоторые замечания к законопроекту, которые, вероятно, авторы уже исправили к моменту внесения в Госдуму. Вместе с тем, в отзыве сказано было о том, что штрафы должны иметь разумные размеры – учитывать возможность исполнения такого наказания лицом, привлеченным к административной ответственности. Возможно, что в версии законопроекта, которая ранее направлялась в правительство, штрафы были предусмотрены ещё выше.

Обработка без согласия станет дороже

Кроме того, 5 декабря Госдума приняла в третьем чтении закон со схожим регулированием (353266-8). Повышаются штрафы за обработку персональных данных без письменного согласия субъекта. Сейчас потолок за это – до 50 тысяч рублей для юрлиц, а будет – до 700 тысяч за первичное нарушение, и до 1,5 млн – за повторное.

Этим же законом вводится новая статья 13.11.3 с наказаниями за нарушение требований в области размещения биометрических персональных данных. Штраф устанавливается за нарушение установленных законодательством требований при размещении и обновлении биометрических данных в единой системе идентификации и аутентификации. Наказываться по этой статье будут банки, МФЦ, иные организации. Потолок штрафа для юрлиц – до 1 млн рублей.