Проекты об оборотных штрафах за утечки персональных данных

Обсуждение ужесточения ответственности за утечки персональных данных перешло на новый этап. В Государственную Думу внесены тексты проектов ФЗ о внесении изменений в КоАП РФ и УК РФ. Речь идет об оборотных штрафах за утечки персональных данных, которые уже долгие месяцы были центром дискуссий.

Поручение рассмотреть вопрос об усилении ответственности за незаконный оборот персональных данных было дано Президентом РФ по итогам заседания Совета по развитию гражданского общества и правам человека еще в конце 2022 года. Рассмотрим, в чем заключаются предлагаемые инициативы.

Административная ответственность за персональные данные

Предложенные изменения в КоАП РФ предусматривают увеличение штрафов за персональные данные по статье 13.11.

В ч. 1 за обработку персональных данных, не совпадающую с целью сбора:

• Для гражданских лиц вместо 2-6 тыс. руб. — от 10 до 15 тыс. руб.
• Для должностных лиц вместо 10-20 тыс. руб. — от 50 до 100 тыс. руб.
• Для юридических лиц вместо 60-100 тыс. руб. — от 150 до 300 тыс. руб.

За повторное нарушение штрафы составят:

• Для гражданских лиц — от 15 до 30 тыс. руб.
• Для должностных лиц — от 100 до 200 тыс. руб.
• Для юридических лиц — от 300 до 500 тыс. руб. 

Статью также предлагают дополнить частями 10-17.

Штрафы за отсутствие уведомления или несвоевременное уведомление об обработке и утечках персональных данных (ч. 10 и ч. 11)

Штрафы за отсутствие уведомления или несвоевременное уведомление оператором о намерении осуществлять обработку персональных данных: 

• Для гражданских лиц — от 5 до 10 тыс. руб.
• Для должностных лиц — от 30 до 50 тыс. руб.
• Для юридических лиц — от 100 до 300 тыс. руб.

Штрафы за отсутствие уведомления или несвоевременное уведомление оператором об утечке персональных данных:

• Для гражданских лиц — от 50 до 100 тыс. руб.
• Для должностных лиц — от 400 до 800 тыс. руб.
• Для юридических лиц — от 100 до 300 тыс. руб. 

Штрафы за утечки персональных данных, которые не содержат признаки уголовного преступления (ч. 12 – ч. 17)

От 1 до 10 тысяч человек (или от 10 тыс. до 100 тыс. идентификаторов):

• Для гражданских лиц — от 100 до 200 тыс. руб.
• Для должностных лиц — от 800 тыс. руб. до 1 млн руб.
• Для юридических лиц — от 3 млн до 5 млн руб. 

От 10 тыс. до 100 тыс. человек (или от 100 тыс. до 1 млн идентификаторов):

• Для гражданских лиц — от 200 до 300 тыс. руб.
• Для должностных лиц — от 1 млн руб. до 1,5 млн руб.
• Для юридических лиц — от 5 млн до 10 млн руб. 

За утечку персональных данных более 100 тыс. человек (или более 1 млн идентификаторов):

• Для гражданских лиц — от 300 до 400 тыс. руб.
• Для должностных лиц — от 1,5 млн руб. до 2 млн руб.
• Для юридических лиц — от 10 млн до 15 млн руб. 

За повторную утечку персональных данных:

• Для гражданских лиц — от 400 до 600 тыс. руб.
• Для должностных лиц — от 2 млн руб. до 4 млн руб.
• Для юридических лиц — оборотный штраф в размере от 0,1% до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение. 

Штрафы за утечку специальной категории персональных данных:

• Для гражданских лиц — от 300 до 400 тыс. руб.
• Для должностных лиц — от 1,5 млн руб. до 2 млн руб.
• Для юридических лиц — от 10 млн до 15 млн руб.

За повторную утечку данных специальной категории и случае третьего нарушения по остальным категориям персональных данных:

• Для гражданских лиц — от 500 до 800 тыс. руб.
• Для должностных лиц — от 3 млн руб. до 5 млн руб.
• Для юридических лиц — оборотный штраф в размере от 0,1% до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение, но не менее 20 млн руб. и не более 500 млн руб.

Текущая версия законопроекта не рассматривает смягчающих обстоятельств для снижения штрафов для тех организаций, которые обеспечили информационную безопасность персональных данных, а также не рассмотрены условия компенсации за утечки для субъектов персональных данных.

Уголовная ответственность за персональные данные

УК РФ предлагают дополнить статьей 272.1 «Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».

В рамках предлагаемой статьи предусматривается ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа:

• Наказание штрафом до 300 тыс. руб. либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.
• То же деяние в отношении компьютерной информации, содержащей специальные категории персональных данных и биометрические персональные данные, наказывается штрафом до 700 тыс. руб. или в размере зарплаты или иного дохода осужденного до 1 года с лишением права заниматься деятельностью до 2 лет, либо принудительными работами до 5 лет, либо лишением свободы на тот же срок.
• Если деяния совершены из корыстной заинтересованности, повлекли крупный ущерб, совершены группой по сговору или с использованием служебного положения, то они наказываются штрафом до 1 млн руб. или иного дохода за период до 2 лет с лишением права занимать определенные должности, либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб., либо лишение свободы на срок до 6 лет со штрафом до 1 млн руб.

Ужесточается ответственность в случае, если данные нарушения сопряжены с трансграничной передачей данных или повлекли тяжкие последствия (приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы, предоставление доступа к персональным данным с целью причинения вреда здоровью, имуществу, ущерба обороне и др.), либо совершены организованной группой.