Прокомментировали законопроект об ужесточении штрафов за утечку персональных данных для «ЭЖ-Юрист»

Законопроект № 502104-8 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях

О планах повысить штрафы за утечку персональных данных представители власти говорят не первый месяц. В июле 2023 года законопроект о внесении изменений в КоАП РФ был представлен Правительству РФ, а с 4 декабря 2023 года он рассматривается Государственной Думой РФ.

В настоящее время за незаконную обработку персональных данных либо обработку, несовместимую с целями сбора персональных данных, компании привлекаются к ответственности по части 1 статьи 13.11 КоАП РФ. Максимальный размер штрафа в этом случае для юридических лиц установлен в размере 100 тысяч рублей (при повторном совершении административного правонарушения - до 300 тысяч рублей).

Законодатель предлагает увеличить штрафы за такие нарушения. В частности, для юридических лиц установить их в размере от 150 до 300 тысяч рублей, а за повторное нарушение в размере от 300 до 500 тысяч рублей.

Также предлагается дополнить статью 13.11 КоАП РФ новыми составами административных правонарушений, по которым предусмотрены штрафы для граждан, должностных лиц и компаний. Рассмотрим санкции для юридических лиц:

– за невыполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных: штраф 100-300 тысяч рублей;

– за невыполнение оператором обязанности уведомлять Роскомнадзор о случаях неправомерной передачи персональных данных, повлекших нарушение прав субъекта персональных данных: штраф 1 млн - 3 млн рублей;

– за утечки баз данных, содержащих персональные данные, в зависимости от объема «утекшей» информации предлагается установить градацию ответственности:

• за утечку данных от 1 тысячи до 10 тысяч субъектов – штраф от 3 млн до 5 млн рублей;

• за утечку данных от 10 тысяч до 100 тысяч субъектов – штраф от 5 млн до 10 млн рублей;

• за утечку данных более 100 тысяч субъектов – штраф от 10 млн до 15 млн рублей;

• за повторное нарушение штраф составит от 0,1 до 3 % выручки за календарный год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.

– за действия/бездействие оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных штраф: от 10 до 15 млн рублей. (Согласно ст. 10 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» к специальной категории отнесены данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости);

– если оператор уже привлекался к ответственности за утечку данных и снова совершил правонарушение, штраф составит от 0,1 до 3 % совокупного дохода размера суммы выручки за календарный год или за часть года, но не менее 20 млн рублей и не более 500 млн рублей.

Обратим внимание, что по рассмотренным составам правонарушений ИП несут ответственность как юридические лица.

Законодатель ожидает, что столь суровые меры административного наказания простимулируют операторов персональных данных инвестировать в информационную безопасность и окажут превентивное воздействие на нарушителей законодательства о персональных данных.

Отметим, что бизнес-сообщество не поддержало рассмотренный подход к назначению штрафных санкций. Ранее представители Торгово-промышленной палаты, Российского союза промышленников и предпринимателей, «ОПОРЫ РОССИИ и «Деловой России» обратились к Правительству РФ с предложением рассмотреть другой вариант привлечения к ответственности за утечку персональных данных.

Предлагалось назначать размеры штрафов за повторную утечку, умножая размер предыдущего штрафа на количество правонарушений. Например, если компания допустила утечку уже в четвертый раз, то она заплатит штраф в 60 млн (15 миллионов х 4). Также предлагалось привязать размер штрафа к чистой прибыли компании за год, а для юридических лиц, у которых прибыли не было, установить фиксированный размер штрафа. Для компаний, постоянно допускающих утечки персональных данных, бизнес предложил ввести уголовную ответственность.

На необходимость доработки законопроекта в сентябре 2023 года указало и Правительство РФ. В официальном отзыве на законопроект сказано, что проектируемые размеры штрафов необходимо уточнить на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к ответственности. Административную ответственность за утечку персональных данных специальной категории Правительство РФ предложило дифференцировать в зависимости от характера правонарушения и степени его общественной вредности.