Ужесточение ответственности в сфере персональных данных в РФ
Содержание данной статьи проверено и подтверждено:
Гончаров Андрей Михайлович
Юрист в области информационной безопасности26.11.2024 г. Государственная Дума Российской Федерации приняла в третьем чтении планы внесения изменений в Административный и Уголовный кодексы.
Планируемые изменения направлены на ужесточение требований к лицам, обеспечивающим обработку и защиту персональных данных (далее – ПДн).
Принятие законопроекта в третьем чтении подразумевает, что документ будет направлен на рассмотрение в Совет Федерации, который, как правило не будет вносить правки или отклонять проект изменений. То есть, если не произойдет какой-либо экстренной ситуации, в ближайшее время данные изменения вступят в силу.
Изменения в Административном кодексе, связанные с защитой ПДн
Изменения, входящие в состав законопроекта № 502104-8 “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)”, касаются внесения правок и добавления новых частей в статье 13.11 Кодекса об административных правонарушениях (далее – КоАП) РФ – “Нарушение законодательства Российской Федерации в области персональных данных”.
Существующие изменения предполагают увеличение существующих штрафов, а также добавления новых.
Изменение размера штрафа предполагается в отношении частей 1. и 1.1 статьи 13.11 КоАП, а именно:
Статья КоАП | Нарушение | Было | Стало |
ч.1 ст. 13.11 |
|
|
|
ч.1.1 ст. 13.11 | Повторное нарушение ч.1 ст. 13.11 |
|
|
Нововведения подразумевают увеличение существующих штрафов вплоть до 5 раз.
Также среди возможных нарушителей теперь не рассматриваются ИП, то есть на них будут распространяться требования как к юридическим лицам.
Основными нововведениями является добавление в статью 13.11 новых нарушений, включающих:
Статья КоАП | Нарушение | Штраф |
ч. 10 ст. 13.11 | Неуведомление или уведомление с опозданием Роскомнадзора (далее – РКН) о намерении осуществлять обработку ПДн. |
|
ч. 11 ст. 13.11 | Неуведомление или уведомление с опозданием (24 часа — об инциденте, 72 часа — о результатах внутреннего расследования) РКН в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн. |
|
ч. 12 ст. 13.11 | Утечка ПДн 1 000 — 10 000 субъектов или от 10 000 до 100 000 уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы). (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 1 000 до 10 000 субъектов ПДн, и (или) от 10 000 до 100 000 идентификаторов). |
|
ч. 13 ст. 13.11 | Утечка ПДн 10 000 — 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 000 000 идентификаторов). |
|
ч. 14 ст. 13.11 | Утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 000 000 идентификаторов). |
|
ч. 15 ст. 13.11 | Повторное нарушение ч. 12-14 ст. 13.11 |
|
ч. 16 ст. 13.11 | Утечка ПДн специальной категории. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей специальную категорию ПДн). |
|
ч. 17 ст. 13.11 | Утечка биометрических ПДн. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей биометрические ПДн). |
|
ч. 18 ст. 13.11 | Повторное нарушение ч. 16 или ч.17 ст. 13.11 |
|
Планируемые нововведения статьи КоАП подразумевают установление колоссальных штрафов за отсутствие достаточного взаимодействия с РКН и за утечки ПДн.
Особенностью является то, что при оценке утечек рассматривается возможность утечки идентификаторов. То есть операторам ПДн помимо защиты ПДн нужно обеспечить защиту логинов и адресов электронной почты своих клиентов.
В пояснительной записке к законопроекту указано, что существующие в настоящий момент штрафы не соразмерны с возможными последствиями от утечек ПДн, а имеющиеся нововведения направлены на стимуляцию операторов ПДн инвестировать в развитие инфраструктуры информационной безопасности и защиту ПДн пользователей.
Авторы законопроекта считают, что только суровые меры административного взыскания способны побудить операторов ПДн всерьез озаботиться обеспечением информационной безопасности. Ожидаемыми последствиями от внесения изменений в законодательство является значительное снижение количество утечек ПДн на территории РФ.
Изменения в Уголовном кодексе, предусматривающие наказания за утечку персданных
Изменения, входящие в состав законопроекта № 502113-8 “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные)”, касаются добавления новой статьи 2721.
Основной задачей статьи является установление уголовной ответственности за преступления, связанные обработкой ПДн, полученных незаконным путем.
Статья состоит из 6 частей, предусматривающих наказание за различные типы правонарушений:
№ | Нарушение | Ответственность |
1 | Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем | Штраф до 300 000 руб. / принудительные работы до 4 лет / лишение свободы до 4 лет |
2 | Выполнение действий, предусмотренных ч. 1 ст. 272, выполняемые в отношении информации, содержащей специальные категории ПДн и (или) биометрические ПДн | Штраф до 700 000 руб. или в размере заработной платы или иного дохода за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет / принудительные работы на срок до 5 лет / лишение свободы до 5 лет |
3 | Выполнение действий, предусмотренных ч.1 и ч.2 ст.272, выполняемые: а) из корыстной заинтересованности; б) повлекшее причинение крупного решения; в) группой лиц по предварительному сговору; г) с использованием служебного положения |
Штраф до 1 000 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет / принудительные работы на срок до 5 лет со штрафом в размере до одного миллиона рублей или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3-х лет / лишение свободы на срок до 6 лет со штрафом в размере до 1 000 000 руб. или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет |
4 | Выполнение действий, предусмотренных ч.1 – 3 ст.272, сопряженные с трансграничной передачей компьютерной информации, содержащей ПДн и (или) трансграничным перемещением носителей, содержащих такие данные | Лишение свободы до 8 лет со штрафом до 2 000 000 руб. или в размере заработной платы или иного дохода за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 4 лет |
5 | Выполнение действий, предусмотренных ч.1 – 4 ст.272, если они повлекли тяжкие последствия, либо были совершены организованной группой | Лишение свободы до 10 лет со штрафом до 3 000 000 руб. или в размере заработной платы или иного дохода за период до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 5 лет |
6 | Создание и(или) обеспечение функционирования информационных ресурсов (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн | Штраф до 700 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет / принудительные работы на срок до 5 лет со штрафом 700 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет / лишение свободы на срок до 5 лет со штрафом 700 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет |
Цель поправок о защите персональных данных
Основной задачей статьи является обеспечение возможности предусмотрения уголовной ответственности за преступления, связанные с ПДн. При этом предлагаемые наказания подразумевают серьезную ответственность, вплоть до лишения свободы до 10 лет и взыскания штрафа до 3 000 000 миллионов рублей.
В пояснительной записке к законопроекту указана существующая статистика преступлений, связанных с ПДн, согласно которой число преступлений в данной области растет с каждым годом, что вызывает особенное внимание со стороны преступников, так как в Российском законодательстве отсутствует ответственность за осуществление неправомерного доступа к информации, содержащей ПДн.
Целью законопроекта является конкретизация объекта преступного посягательства – компьютерной информации, содержащей ПДн и введение уголовной ответственности за незаконный сбор, хранение, использование и передачу ПДн, полученных путем неправомерного доступа к средствам хранения, обработки или передачи ПДн злоумышленниками.
Ожидаемыми последствиями от внесения изменений в законодательство является возможность эффективного привлечения к уголовной ответственности злоумышленников, совершающих преступления в сфере ПДн, а также реализация превентивных механизмов уголовного права, что позволит предотвратить многие преступления в данной сфере.
Планируемые к внедрению законопроекты направлены на обеспечение защиты ПДн граждан РФ как со стороны операторов, предъявляя к ним жесткие штрафы в случае нарушения правомерности защиты и обработки ПДн, так и со стороны преступных элементов, которые желают обогатиться или нанести ущерб гражданам РФ за счет использования ПДн, полученных незаконным путем.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram