За утечку персональных данных введут отдельную ответственность

В настоящее время отдельной ответственности для операторов за утечку персональных данных нет. Такие компании привлекают к ответственности по общей ч.1 ст.13.11 КоАП РФ, которая предусматривает максимальный штраф для юрлиц в размере до 100 тыс. руб. Но данная сумма несоизмерима с возможными последствиями от произошедших утечек. Поэтому ст.13.11 КоАП РФ предлагают дополнить новыми составами административных правонарушений.

Предлагают установить суммы штрафов в зависимости от объема утечки информации, например:

·         при утечке данных в отношении 1-10 тыс. граждан (или 10-100 тыс. идентификаторов) штраф для юрлица составит от 3 до 5 млн. руб.

·         при утечке данных в отношении 10-100 тыс. граждан (или 100 тыс. – 1 млн. идентификаторов) штраф для юрлица составит от 5 до 10 млн. руб.

·         при утечке данных в отношении более 100 тыс. граждан (или более 1 млн. идентификаторов) штраф для юрлица составит от 10 до 15 млн. руб.

За утечку специальных категорий персональных данных, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов.

Кроме того, хотят ввести штрафы за обработку персональных данных без уведомления Роскомнадзора. В общем случае штраф для компании может составить от 100 до 300 тыс. руб. Но если при этом произошла утечка персональных данных, предлагают штраф от 1 до 3 млн. руб.

Предусмотрены также штрафы для граждан и должностных лиц.

Правительство РФ, в целом, поддерживает законопроект, но есть ряд замечаний. В частности, по мнению Кабмина, размеры штрафов нужно уточнить на предмет соразмерности и возможности исполнения наказания (с учетом положений ст.3.1 КоАП РФ). Кроме того, предлагается дифференцировать ответственность за утечку персональных данных специальной категории и биометрии. Также Правительство считает, что в качестве смягчающего обстоятельства следует предусмотреть возможность добровольной денежной компенсации предполагаемого вреда, нанесенного гражданам из-за утечки персональных данных, со стороны оператора. Более того, в Правительстве обратили внимание, что в Госдуме находится законопроект со схожим предметом регулирования (проект N 353266-8, одобрен Госдумой в окончательном чтении), поэтому текущий проект нужно соотнести с ранее предложенным. Соответственно, в проект еще могут вносить изменения.

Еще один законопроект предусматривает уголовную ответственность за незаконное использование компьютерной информации, содержащей персональные данные, а также за создание информационных ресурсов, предназначенных для ее незаконного хранения или распространения. Эти преступления хотят конкретизировать в новой статье Уголовного кодекса 272.1 и они будут отличны от правонарушений, предусмотренных в ст.13.11 КоАП РФ. Правительство проект, в целом, тоже поддерживает, но аналогичным образом имеет ряд замечаний, поэтому проект, по всей видимости, еще будут дорабатывать.

Проект Федерального закона N 502104-8

Проект Федерального закона N 502113-8