Ужесточение наказаний за нарушения в работе с персональными данными

Готовится новая волна ужесточения наказаний за нарушения требований к работе с персональными данными. 23 января 2024 года Государственная Дума РФ приняла в 1 чтении сразу 2 законопроекта:

1. Законопроект № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации»¹ планирует установить ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Для этого в УК РФ введут новую статью 272.1, состав преступлений сейчас сформулирован так:
   • «за использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем»;
   • «за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения персональных данных».
2. Законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»²:
   • предполагает установить градацию ответственности в зависимости от объема «утекшей» информации – пока шкала выглядит так:
     • персональные данные от 1 000 до 10 000 субъектов персональных данных и (или) от 10 000 до 100 000 уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы);
     • персональные данные от 10 000 до 100 000 субъектов персональных данных, и (или) от 100 000 до 1 000 000 идентификаторов;
     • персональные данные более 100 000 субъектов персональных данных, и (или) более 1 000 000 идентификаторов;
   • за утечку специальных категорий персональных данных предполагается установление повышенных административных штрафов;
   • за повторные нарушения, выражающиеся в серьезной «утечке» персональных данных, предусматриваются санкции в виде оборотных штрафов – процент от совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено нарушение (если нарушитель не осуществлял деятельность в предшествующем году, то процент от совокупного размера суммы выручки за предшествующую выявлению часть года, но не менее 20 млн руб. и не более 500 млн руб.!!!);
   • повысить штрафы по ч. 1.1 ст. 13.11 – за повторно выявленную обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо за обработку персданных, не совместимую с целями их сбора:
     • сейчас организации грозит штраф от 100 до 300 тыс. руб., его планируют сделать от 300 до 500 тыс. руб.;
     • должностному лицу пока грозит штраф от 20 до 50 тыс. руб., его планируют сделать от 100 до 200 тыс. руб.;
   • штрафовать за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных или об их «утечке». Кстати, за молчание о выявленной «утечке» организацию смогут оштрафовать на сумму до 3 млн руб., а ответственное должностное лицо – до 800 000 руб.!

Хотя к этим вопросам надо будет вернуться после принятия законов, когда мы сможем увидеть окончательные размеры штрафов и формулировки. Пока просто предупреждаем, что государство все серьезнее относится к информационной защите в целом и защите персональных данных в частности. Именно поэтому теме персональных данных мы решили посвятить наш следующий онлайн-семинар, который пройдет 22.05.2024, и 2 статьи в этом номере журнала:

• «Кто и как отвечает в организации за работу с персональными данными» – вы увидите, за что, на кого и какие штрафы накладываются сейчас. Это крупные штрафы: часто в сотни тысяч, а при повторном нарушении они исчисляются уже в миллионах рублей – в таблицах все наглядно показано;

• статья «Как документировать уничтожение персональных данных».

Наталья Храмцовская,
к.и.н., ведущий эксперт по управлению документацией компании
«ЭОС», эксперт ИСО