Увеличение штрафов
Принятым законом была дополнена ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных».
После вступления в силу закона за сбор персональных данных без согласия владельцев придётся заплатить:
- гражданам 10-15 тыс. рублей — для сравнения сейчас штраф составляет до 10 тыс.;
- должностным лицам 100-300 тыс. — сейчас до 40 тыс. рублей;
- юридическим лицам 300-700 тыс. — до 150 тыс. рублей.
За незаконное размещение и обновление должностные лица заплатят 100-300 тыс. рублей, юрлица до 1 млн рублей.
При повторном совершении нарушений на граждан наложат штраф 15-30 тыс. рублей, на должностных лиц 300-500 тыс., на ИП от 500 тыс. до 1 млн и на организацию 1-1,5 млн рублей.
Новая статья в КоАП РФ
Более того, вводятся отдельные штрафы за за нарушение требований в области размещения биометрических персональных данных. Для этого КоАП РФ дополнили новой статьёй 13.11.3.
За размещение и обновление банками, МФЦ и иными организациями биометрических персональных данных в Единой системе идентификации и аутентификации с нарушениями:
- должностные лица заплатят штраф от 100 до 300 тыс. рублей;
- юридические лица от 500 тыс. до 1 млн рублей.
Кто будет рассматривать дела
Также новым законом устанавливается, что в случае составления Роскомнадзором протоколов о нарушении размещения и обновления биометрических данных рассматривать дела будут суды. В пределах своих полномочий такие дела сможет рассматривать Центральный банк.
А тем временем...
В Госдуму внесены законопроекты, которые предлагают ещё более ужесточить ответственность за нарушения с персональными данными. Инициаторы законопроектов считают, что такие суровые меры административного наказания станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность и окажут превентивное воздействие на операторов, несоблюдающих требования законодательства о персональных данных.
Первый законопроект предлагает внести изменения в ст. 13.11 КоАП — штрафовать нарушителей в зависимости от количества персональных данных, которые были скомпроментированы. Для должностных лиц штрафы должны быть от 800 тыс. до 2 млн рублей, для юридических лиц 3-15 млн рублей.
За повторные правонарушения взимать оборотные штрафы при любом объёме от 1 тыс. субъектов — от 0,1 до 3% выручки за год, но не менее 15 млн и не более 500 млн рублей.
За утечку биометрических данных штраф для юрлиц должен составлять 15-20 млн рублей.
Второй законопроект предлагает внести поправки в ст. 272 УК РФ, т.е. ввести уголовную ответственность за нарушения.
В частности, за сбор, использование, передача персональных данных, полученных незаконным путём, — штраф до 300 тыс. рублей, принудительные работы или лишение свободы на срок до 4 лет. Если в нарушении участвовала группа лиц, — то штраф вырастает до 700 тыс. рублей.
Если информация содержит специальные категории персональных данных или биометрические персональные данные — лишение свободы на срок до 5 лет.
Если незаконное использование персональных данных повлекло крупный ущерб и было совершено группой лиц — штраф 1 млн и лишение свободы на срок до 6 лет.
За переправку данных за рубеж — штраф до 2 млн рублей и до 8 лет лишения свободы. Если утечка повлекла вред жизни, здоровью или общественной безопасности и была совершена группой лиц — до 10 лет и до 3 млн рублей.
Тем, кто строит бизнес на незаконно полученных данных, грозит штраф до 700 тыс. рублей и до 5 лет лишения свободы.
Немного статистики
В пояснительных записках к внесённым в Госдуму законопроектам приводится статистика «Лаборатории Касперского»:
- в 2021 году выявлено утечек более 100 млн записей, в даркнете размещено более 610 млн персональных данных;
- в 2022 году было обнаружено 168 случаев публикации баз данных российских компаний.
Всего опубликовано более 2 млрд записей почти с 300 млн данных, из которых 16% содержали пароли. Лидерами по объёму скомпрометированных данных были сферы доставки (34%) и ритейл (14%). Штраф, установленный сейчас, за такие нарушения составляет до 100 тыс. рублей, при повторном нарушении до 300 тыс. рублей.
Что в связи с этим делать
Как вы, наверное, знаете, что юрлица и ИП должны подать уведомление о начале обработки персональных данных в Роскомнадзор, после их должны поместить в специальный реестр. Уведомление такое должны подавать абсолютное большинство компаний, потому что все так или иначе эти персональные данные обрабатывают, вот тут мы рассказывали об этом подробно.
Правда, судя по статистике Роскомнадзора, требование закона исполняют далеко не все. В реестре зарегистрировано всего около 900 тыс. операторов, хотя только в реестре МСП на данный момент более 6 млн. субъектов.
Но подачей уведомлений (кроме этого в перечне их ещё около 10) всё не ограничивается, нужно провести целый комплекс мероприятий — назначить ответственного сотрудника за обработку персональных данных; разработать локальную документацию; регулярно проводить проверки соответствия обработки данных требованиям закона; оценивать степень потенциального вреда субъекту персональных данных и др.
