500 миллионов за утечку: Госдума приняла закон о защите данных

Госдума во втором и третьем чтении приняла законы, которые значительно ужесточают административную ответственность за утечки персональных данных.

Так, за то, что оператор не уведомил или несвоевременно уведомил Роскомнадзор о планах осуществить обработку персональных данных, вводится штраф, который для граждан составляет от 5000 до 10 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, а для организаций — от 100 000 до 300 000 рублей.

То же нарушение в случае, если установлена неправомерная или случайная передача данных, повлечет штраф в размере:

• для граждан — от 50 000 до 100 000 рублей,
• для должностных лиц — от 400 000 до 800 000 рублей,
• для юрлиц — от 1 млн до 3 млн рублей.

Если действия или отсутствие действий оператора привели к передаче данных от 1000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов, физлицу грозит штраф от 100 000 до 200 000 рублей, должностному лицу — от 200 000 до 400 000 рублей, для юрлиц — от 3 млн до 5 млн рублей. Речь идет о случаях, когда эти данные не содержат признаков уголовно наказуемого деяния.

Если же за таким нарушением последовала передача персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов, то гражданин может получить штраф на сумму от 200 000 до 300 000 рублей, должностное лицо — от 300 000 до 500 000 рублей, а организация — от 5 млн до 10 млн рублей.

В случае, если речь идет о передаче персональных данных более 100 000 субъектов или более 1 млн идентификаторов, то штраф будет составлять:

• для граждан — от 300 000 до 400 000 рублей,
• для должностных лиц — от 400 000 до 600 000 рублей,
• для юрлиц — от 10 млн до 15 млн рублей.

Если гражданин уже получал ранее штраф за нарушение, которое привело к утечке данных, и совершил его снова, ему могут выписать штраф в размере от 400 000 до 600 000 рублей. Для должностных лиц он составит от 800 000 до 1,2 млн рублей, а для юрлиц — от 1% до 3% совокупного размера выручки, но не меньше 20 млн рублей и не больше 500 млн рублей.

Александр Хинштейн сообщил дополнительные подробности принятых законопроектов. По его словам, в ходе длительной дискуссии обсуждались смягчающие обстоятельства для нарушителей. В итоге был согласован подход Минцифры, который предусматривает смягчение ответственности при совокупности трех условий:

• ежегодные инвестиции оператора в информационную безопасность в размере не менее 0,1% от оборота или выручки в течение трех лет;
• отсутствие отягчающих обстоятельств (например, привлечения к административной ответственности);
• документальное подтверждение соблюдения требований по защите персональных данных.

При этом даже при выполнении этих условий нарушителям все равно придется платить штраф.

Помимо этого, вводится административная ответственность за отказ в предоставлении государственной/муниципальной/иной услуги, если гражданин не хочет предоставлять свою биометрию. Устанавливается ответственность и за невыполнение мер по обеспечению безопасности биометрических персданных в Единой биометрической системе (ЕБС).

В Уголовном кодексе появится новая статья 272.1, которая предусматривает ответственность за незаконное хранение, сбор и передачу персональных данных, полученных противоправным путем. В зависимости от тяжести деяния наказание может составить до 10 лет лишения свободы.

Законодатели также вводят уголовную ответственность за создание и функционирование интернет-ресурсов для заведомо незаконного хранения/ передачи «криминальных» персданных.

При этом Хинштейн подчеркнул, что действие новых составов УК РФ не коснется обработки персональных данных для личных и семейных нужд граждан. Это также не затронет и специалистов инфобеза, расследующих утечки: если сама их деятельность законна — вопросов к ним не возникнет.