Повышенные штрафы и тюрьма: как накажут за утечку персональных данных
Ответственность за ненадлежащее обращение с личной информацией россиян усилили
Тема: Пленарное заседание Государственной Думы 26 ноября 2024 года
За повторную утечку личной информации клиентов штрафы для компаний предлагают назначать от одного до трех процентов от оборота за календарный год, а за трансграничную утечку — лишать свободы на срок до десяти лет. Такие нормы содержатся в двух законопроектах о поправках в Уголовный кодекс и Кодекс об административных правонарушениях, устанавливающих повышенную ответственность за правонарушения, связанные с хранением и оборотом персональных данных россиян, принятых Госдумой во втором и третьем чтениях 26 ноября. Подробности — в материале «Парламентской газеты».
О чем гласят законопроекты?
Напомним: речь идет о законопроектах, которые вносят в Кодекс об административных правонарушениях и Уголовный кодекс поправки, устанавливающие повышенную ответственность за нарушение порядка обработки персональных данных. В первом чтении оба законопроекта приняли еще в конце января этого года. В частности, как отмечали авторы инициативы в пояснительной записке, потребность в этом продиктована тем, что действовавшие формы ответственности (до 100 тысяч рублей для юридических лиц за однократное и до 300 тысяч за повторное нарушение) были несоизмеримы ни с оборотами компаний, ни с масштабами вреда от произошедших утечек.
«Нам потребовался почти год — десять месяцев, если быть точным — для того, чтобы учесть все пожелания и рекомендации, высказанные к законопроектам после их принятия в первом чтении, — отметил в ходе пленарного заседания один из авторов инициативы, член Комитета Государственной Думы по государственному строительству и законодательству Дмитрий Вяткин. — К законопроекту о поправках в КоАП поступило всего 30 поправок, 16 из них были рекомендованы к принятию. В частности, удалось дифференцировать ответственность, пересмотреть суммы штрафов и ввести некоторые дополнительные составы преступлений. С поправками в Уголовный кодекс оказалось проще — они прежде всего уточняющие и редакционные, хотя по сути тоже есть».
Административная ответственность: рост минимальных штрафов и наказание за отказ в предоставлении услуг
В предыдущей редакции документа предлагалось установить оборотные штрафы для предпринимателей в диапазоне от 0,1 до 3 процентов от их выручки за календарный год, предшествующий году, когда было совершено правонарушение. В новой редакции минимальную планку решено было поднять до одного процента соответственно. В денежном выражении цифры также вырастут: если в старой редакции предлагалось установить сумму штрафов не ниже 15 миллионов рублей, то в новой она будет начинаться уже с 20 миллионов.
Также законопроект предлагается дополнить статьей, которой не было в предыдущей редакции. В ней речь идет о нарушении порядка обработки биометрических персональных данных: как в Единой биометрической системе, так и в информационных системах государственных органов, Центрального банка и прочих уполномоченных организаций. За это будет полагаться штраф: от 150 тысяч до 300 тысяч рублей для должностных лиц и от 500 тысяч до миллиона — для юридических. То же самое будет касаться и неприятия технических и организационных мер по обеспечению безопасности биометрии: если подобный факт установят, должностных лиц, его допустивших, будет ждать ответственность в размере от 300 до 500 тысяч рублей, а юридических — от миллиона до полутора.
Еще один важный блок поправок касается взаимодействий агрегаторов персональных данных и потребителей, которые в предыдущей редакции подробно регламентированы не были. Так, ответственность предлагается установить, если человека принуждают к сдаче биометрии, например, под угрозой того, что в противном случае ему не будут предоставлять затребованные услуги. Она составит от 50 до 100 тысяч рублей для должностных и от 200 до 500 тысяч — для юридических лиц.
Наконец, последняя рекомендованная к принятию поправка касается сроков вступления закона в силу. Эти сроки предложено существенно увеличить, чтобы дать всем заинтересованным лицам больше времени на подготовку: если в предыдущей редакции законопроект должен был вступить в силу спустя 30 дней после его официального опубликования, то в новой — уже после 180.
Уголовная ответственность: новые категории для отягчающих обстоятельств
Второй законопроект вносит изменения в ряд статей Уголовного кодекса. В том числе в статью 272 «Неправомерный доступ к компьютерной информации», которую предлагается дополнить специальной статьей «Незаконное использование, сбор, хранение и передача информации, содержащей персональные данные». Она впервые вводит уголовную ответственность за ненадлежащее обращение с персональными данными, а также их кражу или незаконное распространение. В этой части ответственность тоже решено было усилить.
Так, председатель думского IT-комитета Александр Хинштейн ранее подчеркнул в своем телеграм-канале, что особое наказание будет предусмотрено за распространение персональных данных несовершеннолетних. В старой редакции эту категорию отдельно не выделяли.
«Если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тысяч рублей либо в размере дохода осужденного за два года, либо принудительные работы на срок до пяти лет, либо лишение свободы на тот же срок», — пояснил парламентарий.
Также, как гласит действующая редакция, если преступное деяние было совершено из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до одного миллиона рублей либо в размере дохода осужденного за три года, срок принудительных работ — до пяти лет, срок лишения свободы — до шести лет. Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до восемь лет, а если преступление повлекло тяжкие последствия — на срок до 10 лет. Эти аспекты авторы законопроекта решили оставить без изменений.
Без четко прописанных штрафных санкций не обойтись
Как пояснил в разговоре с «Парламентской газетой» один из авторов законопроекта, первый заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин, проблема распространения персональных данных россиян и их использования злоумышленниками стоит чрезвычайно остро. Поэтому без суровых штрафных санкций для тех, по чьей вине утечки обычно и происходят, не обойтись.
«Действующие меры ответственности за нарушение законодательства в области персональных данных не являются достаточными и не решают проблему в полной мере. Так, за девять месяцев 2024 года Роскомнадзор выявил 110 фактов утечек данных россиян, — отметил сенатор. — Наличие четко прописанных штрафных санкций должно уменьшить масштаб таких утечек и обеспечить создание безопасного цифрового пространства для наших граждан».
Александр Хинштейн по итогам обсуждения подчеркнул, что принятые законы имеют беспрецедентную важность.
«Законы очень важные и долгожданные, — подчеркнул парламентарий. — Они позволят изменить ситуацию с кибермошенничеством, с телефонным мошенничеством, которые невозможны без доступа злоумышленников к персональным данным. Работа шла непросто, в том числе нам пришлось преодолевать сопротивление крупного бизнеса. Но мы все же дошли до конца. И, конечно, работу мы на этом не прекратим и будем действовать и дальше, защищая права наших граждан».
356
Ещё материалы: Дмитрий Вяткин, Александр Хинштейн, Артем Шейкин
