Персональные данные: изменения в УК и КоАП

Изменения касаются как административного (КоАП), так и уголовного кодекса (УК).

Теперь вводятся «оборотные» штрафы для компаний и ответственных лиц за повторные утечки личных данных граждан, а также вводится уголовная ответственность за незаконное использование компьютерной информации, содержащей персональные данные, полученных неправомерным путем. Законопроекты были рассмотрены сразу во втором и в третьем чтении.

Изменения в КоАП

Основные изменения в КоАП для юридических лиц (вступят в силу через 180 дней после его официального опубликования)

1. Штрафы за утечку данных для компаний:

• От 1 до 10 тыс. субъектов и/или от 10 тыс. до 100 тыс. идентификаторов*: 3-5 млн рублей.
• До 100 тыс. субъектов и/или до 1 млн идентификаторов: 5-10 млн рублей.
• Свыше 100 тыс. субъектов и/или более 1 млн идентификаторов: 10-15 млн рублей.
• Для специальной категории персональных данных: 10-15 млн рублей.
• Для биометрических данных: 15-20 млн рублей.

*Под идентификатором понимается «уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу». Например, уникальный номер клиента в базе компании.

2. Оборотные штрафы для компаний:

За повторную утечку данных для компаний вводятся оборотные штрафы — механизм штрафов, зависящий от выручки компании:

• 1-3% от совокупной годовой выручки компании (или размера капитала на дату совершения правонарушения для кредитных организаций).
• Размер штрафа: минимум 20 млн рублей, максимум — 500 млн рублей для всех нарушений, для утечек биометрических данных минимум — 25 млн рублей.

3. Смягчающие обстоятельства:

Штрафы могут быть снижены, например, если оператор данных потратил 0,1% выручки на меры по информационной безопасности, проведенными специальными организациями, на протяжении 3 лет и может документально подтвердить соблюдение требований к защите данных при обработке в информационных системах в течение предшествующего года.

4. Также дополнительно вводятся штрафы за несвоевременное уведомление о намерении осуществлять обработку персональных данных и об их утечке.

Основные изменения в УК РФ

1. УК РФ (за незаконное использование, сбор или хранение компьютерной информации, содержащей персональные данные)

• До 300 тыс. рублей штрафа*, либо до 4 лет принудительных работ или лишения свободы.

*или в размере заработной платы или иного дохода осужденного за период до одного года

2. Особые случаи:

• Данные несовершеннолетних или биометрия: до 700 тыс. рублей штрафа*, либо принудительные работы или лишение свободы на срок до 5 лет.
• Трансграничная передача данных или трансграничное перемещение носителей информации, содержащих данные: до 8 лет лишения свободы и штраф размером до 2 млн рублей*.
• Организованная группа, тяжкие последствия: до 10 лет лишения свободы и штраф* до 3 млн рублей.

Под трансграничным перемещением носителей информации здесь понимается совершение действий по ввозу на территорию РФ и (или) вывозу с территории РФ и машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлены запись и хранение такой информации).

* или в размере заработной платы или иного дохода осужденного за определенный период с лишением права занимать определенные должности или заниматься определенной деятельностью на определенный срок или без такового

 3. За создание ресурсов для незаконного хранения и передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем:

• до 700 тыс рублей*, либо принудительные работы или лишение свободы на срок до 5 лет с соответствующими штрафами**

*или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового

** в размере до 700 тысяч рублей или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового

Реакция бизнеса

Ранее вице-президент по ИБ «Вымпелкома» Алексей Волков предложил тестировать оборотные штрафы в экспериментальном режиме. Его поддержал директор департамента цифрового развития Владимир Волошин, предложивший отсрочку закона на два года, ссылаясь на неподготовленность бизнеса к новым требованиям.

Ассоциация больших данных считает, что новые правила фактически превращают информационную безопасность в «налог», поскольку ответственность наступает независимо от вины оператора данных.

Наше мнение

Поправки в КоАП РФ усиливают ответственность за утечку персональных данных, существенно увеличивая штрафы. Это вынуждает компании срочно пересматривать подходы к информационной безопасности, чтобы избежать финансовых и репутационных потерь.

Переходный период для вступления новых норм продлен с 30 до 180 дней, чтобы, вероятно, бизнес успел модернизировать системы защиты данных. Однако и этого времени может быть недостаточно из-за масштабов необходимых изменений.

Такой рост штрафов ставит под угрозу финансовую устойчивость ряда компаний, а некоторые из них могут оказаться на грани банкротства.

Интересно, что одновременно с крупными штрафами в законе нет норм о страховании и денежных компенсациях пользователям, чьи данные утекли. Министр цифрового развития, связи и массовых коммуникаций России Максут Шадаев объяснил это тем, что ни по одному составу административных правонарушений нет такой нормы.

Теперь компании столкнулись с выбором: срочные инвестиции в ИБ или риск огромных штрафов. Информационная безопасность становится стратегическим приоритетом, игнорирование которого может привести к серьезным последствиям.