Прокомментировали законопроект об ужесточении штрафов за утечку персональных данных для «ЭЖ-Юрист»
Руководитель направления IT и персональные данные ЦПО групп Дарья Петрова выступила экспертом для издания «ЭЖ-Юрист» и рассказала о законопроекте и реакции бизнес-сообщества на установление повышенных административных штрафов
В Государственной думе рассматривается Законопроект № 502104-8 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях, которым предлагается ужесточить штрафы за утечку персональных данных.
Руководитель направления IT и персональные данные ЦПО групп Дарья Петрова выступила экспертом для издания «ЭЖ-Юрист» и рассказала о законопроекте и реакции бизнес-сообщества на установление повышенных административных штрафов.
Законодатель предлагает установить штрафы для юридических лиц в размере от 150 до 300 тысяч рублей, а за повторное нарушение в размере от 300 до 500 тысяч рублей. Также предлагается дополнить статью 13.11 КоАП РФ новыми составами административных правонарушений
Руководитель направления IT и персональные данные ЦПО групп Дарья Петрова выступила экспертом для издания «ЭЖ-Юрист» и рассказала о законопроекте и реакции бизнес-сообщества на установление повышенных административных штрафов.
Законодатель предлагает установить штрафы для юридических лиц в размере от 150 до 300 тысяч рублей, а за повторное нарушение в размере от 300 до 500 тысяч рублей. Также предлагается дополнить статью 13.11 КоАП РФ новыми составами административных правонарушений
1
Полный комментарий, предоставленный изданию, публикуем для наших читателей:
Законопроект № 502104-8 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях
О планах повысить штрафы за утечку персональных данных представители власти говорят не первый месяц. В июле 2023 года законопроект о внесении изменений в КоАП РФ был представлен Правительству РФ, а с 4 декабря 2023 года он рассматривается Государственной Думой РФ.
В настоящее время за незаконную обработку персональных данных либо обработку, несовместимую с целями сбора персональных данных, компании привлекаются к ответственности по части 1 статьи 13.11 КоАП РФ. Максимальный размер штрафа в этом случае для юридических лиц установлен в размере 100 тысяч рублей (при повторном совершении административного правонарушения - до 300 тысяч рублей).
Законодатель предлагает увеличить штрафы за такие нарушения. В частности, для юридических лиц установить их в размере от 150 до 300 тысяч рублей, а за повторное нарушение в размере от 300 до 500 тысяч рублей.
Также предлагается дополнить статью 13.11 КоАП РФ новыми составами административных правонарушений, по которым предусмотрены штрафы для граждан, должностных лиц и компаний. Рассмотрим санкции для юридических лиц:
– за невыполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных: штраф 100-300 тысяч рублей;
– за невыполнение оператором обязанности уведомлять Роскомнадзор о случаях неправомерной передачи персональных данных, повлекших нарушение прав субъекта персональных данных: штраф 1 млн - 3 млн рублей;
– за утечки баз данных, содержащих персональные данные, в зависимости от объема «утекшей» информации предлагается установить градацию ответственности:
• за утечку данных от 1 тысячи до 10 тысяч субъектов – штраф от 3 млн до 5 млн рублей;
• за утечку данных от 10 тысяч до 100 тысяч субъектов – штраф от 5 млн до 10 млн рублей;
• за утечку данных более 100 тысяч субъектов – штраф от 10 млн до 15 млн рублей;
• за повторное нарушение штраф составит от 0,1 до 3 % выручки за календарный год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.
– за действия/бездействие оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных штраф: от 10 до 15 млн рублей. (Согласно ст. 10 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» к специальной категории отнесены данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости);
– если оператор уже привлекался к ответственности за утечку данных и снова совершил правонарушение, штраф составит от 0,1 до 3 % совокупного дохода размера суммы выручки за календарный год или за часть года, но не менее 20 млн рублей и не более 500 млн рублей.
Обратим внимание, что по рассмотренным составам правонарушений ИП несут ответственность как юридические лица.
Законодатель ожидает, что столь суровые меры административного наказания простимулируют операторов персональных данных инвестировать в информационную безопасность и окажут превентивное воздействие на нарушителей законодательства о персональных данных.
Отметим, что бизнес-сообщество не поддержало рассмотренный подход к назначению штрафных санкций. Ранее представители Торгово-промышленной палаты, Российского союза промышленников и предпринимателей, «ОПОРЫ РОССИИ и «Деловой России» обратились к Правительству РФ с предложением рассмотреть другой вариант привлечения к ответственности за утечку персональных данных.
Предлагалось назначать размеры штрафов за повторную утечку, умножая размер предыдущего штрафа на количество правонарушений. Например, если компания допустила утечку уже в четвертый раз, то она заплатит штраф в 60 млн (15 миллионов х 4). Также предлагалось привязать размер штрафа к чистой прибыли компании за год, а для юридических лиц, у которых прибыли не было, установить фиксированный размер штрафа. Для компаний, постоянно допускающих утечки персональных данных, бизнес предложил ввести уголовную ответственность.
На необходимость доработки законопроекта в сентябре 2023 года указало и Правительство РФ. В официальном отзыве на законопроект сказано, что проектируемые размеры штрафов необходимо уточнить на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к ответственности. Административную ответственность за утечку персональных данных специальной категории Правительство РФ предложило дифференцировать в зависимости от характера правонарушения и степени его общественной вредности.
О планах повысить штрафы за утечку персональных данных представители власти говорят не первый месяц. В июле 2023 года законопроект о внесении изменений в КоАП РФ был представлен Правительству РФ, а с 4 декабря 2023 года он рассматривается Государственной Думой РФ.
В настоящее время за незаконную обработку персональных данных либо обработку, несовместимую с целями сбора персональных данных, компании привлекаются к ответственности по части 1 статьи 13.11 КоАП РФ. Максимальный размер штрафа в этом случае для юридических лиц установлен в размере 100 тысяч рублей (при повторном совершении административного правонарушения - до 300 тысяч рублей).
Законодатель предлагает увеличить штрафы за такие нарушения. В частности, для юридических лиц установить их в размере от 150 до 300 тысяч рублей, а за повторное нарушение в размере от 300 до 500 тысяч рублей.
Также предлагается дополнить статью 13.11 КоАП РФ новыми составами административных правонарушений, по которым предусмотрены штрафы для граждан, должностных лиц и компаний. Рассмотрим санкции для юридических лиц:
– за невыполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных: штраф 100-300 тысяч рублей;
– за невыполнение оператором обязанности уведомлять Роскомнадзор о случаях неправомерной передачи персональных данных, повлекших нарушение прав субъекта персональных данных: штраф 1 млн - 3 млн рублей;
– за утечки баз данных, содержащих персональные данные, в зависимости от объема «утекшей» информации предлагается установить градацию ответственности:
• за утечку данных от 1 тысячи до 10 тысяч субъектов – штраф от 3 млн до 5 млн рублей;
• за утечку данных от 10 тысяч до 100 тысяч субъектов – штраф от 5 млн до 10 млн рублей;
• за утечку данных более 100 тысяч субъектов – штраф от 10 млн до 15 млн рублей;
• за повторное нарушение штраф составит от 0,1 до 3 % выручки за календарный год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.
– за действия/бездействие оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных штраф: от 10 до 15 млн рублей. (Согласно ст. 10 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» к специальной категории отнесены данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости);
– если оператор уже привлекался к ответственности за утечку данных и снова совершил правонарушение, штраф составит от 0,1 до 3 % совокупного дохода размера суммы выручки за календарный год или за часть года, но не менее 20 млн рублей и не более 500 млн рублей.
Обратим внимание, что по рассмотренным составам правонарушений ИП несут ответственность как юридические лица.
Законодатель ожидает, что столь суровые меры административного наказания простимулируют операторов персональных данных инвестировать в информационную безопасность и окажут превентивное воздействие на нарушителей законодательства о персональных данных.
Отметим, что бизнес-сообщество не поддержало рассмотренный подход к назначению штрафных санкций. Ранее представители Торгово-промышленной палаты, Российского союза промышленников и предпринимателей, «ОПОРЫ РОССИИ и «Деловой России» обратились к Правительству РФ с предложением рассмотреть другой вариант привлечения к ответственности за утечку персональных данных.
Предлагалось назначать размеры штрафов за повторную утечку, умножая размер предыдущего штрафа на количество правонарушений. Например, если компания допустила утечку уже в четвертый раз, то она заплатит штраф в 60 млн (15 миллионов х 4). Также предлагалось привязать размер штрафа к чистой прибыли компании за год, а для юридических лиц, у которых прибыли не было, установить фиксированный размер штрафа. Для компаний, постоянно допускающих утечки персональных данных, бизнес предложил ввести уголовную ответственность.
На необходимость доработки законопроекта в сентябре 2023 года указало и Правительство РФ. В официальном отзыве на законопроект сказано, что проектируемые размеры штрафов необходимо уточнить на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к ответственности. Административную ответственность за утечку персональных данных специальной категории Правительство РФ предложило дифференцировать в зависимости от характера правонарушения и степени его общественной вредности.
Петрова Дарья Владимировна
Руководитель направления "IT и персональные данные"
+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
Читайте в разделе Правовая охрана персональных данных
-
Персональные данные (152-ФЗ)14.10.2024
Получить консультацию
Спасибо! Ваше сообщение получено
