В Госдуму внесены два проекта поправок в Уголовный Кодекс РФ и Кодекс об Административных Правонарушениях РФ, которыми предлагается существенно увеличить ответственность за незаконную передачу и распространение персональных данных.
Предлагается дополнить ст. 272.1 УК следующими штрафами. За незаконные использование и передачу (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, за исключением деяний, совершенных в отношении компьютерной информации, содержащей персональные данные, предлагается наказывать штрафом до 300 000 рублей либо принудительными работами на срок до 4 лет, либо лишением свободы на аналогичный срок. Если компьютерная информация содержит специальные категории персональных данных и биометрические персональные данные, то наказание будет в виде штрафа до 700 000 рублей или в размере зарплаты или иного дохода осужденного за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового либо принудительных работ на срок до 5 лет, либо лишения свободы на тот же срок.
Если деяния совершены из корыстной заинтересованности или же повлекли причинение крупного ущерба, или совершены группой лиц по предварительному сговору или с использованием своего служебного положения, то максимальный штраф будет равен 1 000 000 рублей или зарплате, или иному доходу осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового. Альтернативное наказание – принудительные работы на срок до 5 лет либо лишение свободы на срок до 6 лет. Оба наказания предусматривают штраф в размере до 1 000 000 рублей или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
В случае, если вышеуказанные деяния сопряжены с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей, содержащих такие данные, лишение свободы максимум составит 8 лет, а штраф – 2 000 000 рублей с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового. Под трансграничным перемещением носителей, содержащих указанную в статье компьютерную информацию, понимается совершение действий по ввозу на территорию России и вывозу с территории России машиночитаемого носителя информации, на котором записана информация, содержащая персональные данные.
Тяжкие последствия или совершение деяния организованной группой будет наказываться лишением свободы на срок до 10 лет со штрафом в размере до 3 000 000 рублей или в размере зарплаты или иного дохода осужденного за период до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового. Под тяжкими последствиями понимаются временная приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы персональных данных, распространение компьютерной информации, содержащей персональные данные, неограниченному кругу лиц, предоставление или доступ к ней третьим лицам с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне или безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям.
Создание и обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, предлагается наказывать штрафом до 700 000 рублей или в размере зарплаты или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового. К вышеуказанному могут добавиться принудительные работы или лишение свободы.
При этом, планируется особо указать, что ее действие не распространяется на случаи обработки персональных данных физлицами для личных и семейных нужд.
Одновременно предлагается ввести административную ответственность за неисполнение обязанности по уведомлению Роскомнадзора в случае «утечки персональных данных» и за несокращение перечня исключений, когда оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Статью 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ предлагается дополнить новыми составами правонарушений, предусматривающими установление административной ответственности за утечки баз данных, содержащих персональные данные. Так, в зависимости от объема «утекшей» информации законопроектом предлагается установление следующей градации ответственности:
- информация, включающая персданные от 1 до 10 000 субъектов персональных данных, и от 10 до 100 000 уникальных обозначений сведений о физлицах, необходимых для определения таких лиц (далее – идентификаторы);
- информация, включающая персданные от 10 до 100 000 субъектов, и от 100 000 до 1 000 000 идентификаторов;
- информация, включающая персданные более 100 000 субъектов, и более 1 000 000 идентификаторов.
За утечку специальных категорий персональных данных, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов до 300 000 рублей для юридических лиц. А за повторные правонарушения, выражающиеся в серьезной «утечке» персональных данных, предусматриваются санкции в виде оборотных штрафов. Оборотные штрафы – это размер суммы, которую нужно заплатить при нарушении правил (исчисляется из общей выручки компании за год).
Отдельно оформляется ответственность за другие нарушения, ранее не выделявшиеся в специальные нормы. Самые высокие штрафы предусмотрены за нарушения, связанные с утечками – неправомерным раскрытием массивов персональных данных. В зависимости от того, данные о каком количестве человек были раскрыты, отличается и размер ответственности. Самый большой штраф предусмотрен за утечку данных о более 100 000 субъектов персональных данных. Размер штрафа для юридических лиц – от 10 до 15 000 000 рублей.
Во избежание штрафов позаботьтесь о своевременном включении своей компании в реестр операторов по обработке персональных данных и подготовьте пакет документов, который обязан быть у каждого оператора персональных данных, соответственно осуществляемому виду деятельности. Это, в случае привлечения Вас к ответственности за серьезное правонарушение в области обработки персданных, будет свидетельствовать о Вашей добросовестности и законопослушании и даст шанс получить минимальный штраф из возможного.
Мы готовы оказать как помощь во включении Вашей компании в реестр операторов персональных данных и подготовке пакета документов по сопровождению деятельности по обработке персональных данных, так и юридическую поддержку в оспаривании постановлений об административном правонарушении в области обработки персональных данных.
Юрист, специалист по судебной защите
группы Объединённые Юристы.