Штрафы за утечку персональных данных повысят до 15 млн руб.: к чему еще готовиться бизнесу?

ilixe48 / Фотобанк 123RF.com

В этом материале

Необходимость изменений в сфере персональных данных возникла из-за увеличения в этом году количества преступлений, совершенных с использованием информационно-телекоммуникационных технологий. С января по май их было зарегистрировано на 16,5% больше по сравнению с аналогичным периодом 2023-го.

Мы проанализировали грядущие законодательные изменения и подготовили обзор, который будет полезен предпринимателям.

Меры по защите персональных данных

На сегодняшний день за нарушение законодательства в сфере персональных данных (ПДн) предусмотрена следующая ответственность:

• ст. 13.11 КоАП ("Нарушение законодательства РФ в области персональных данных") – штраф от 2 тыс. до 6 тыс. руб. для граждан; от 10 тыс. до 20 тыс. руб. для должностных лиц; от 60 тыс. до 100 тыс. руб. для юрлиц. За повторное нарушение штрафы составляют от 4 тыс. до 12 тыс. руб. для граждан; от 20 до 50 тыс. руб. для должностных лиц; от 50 до 100 тыс. руб. для ИП; от 100 до 300 тыс. руб. для юрлиц;
• ст. 151 Гражданского кодекса ("Компенсация морального вреда"), ст. 15 ("Возмещение убытков"), взыскание неустойки, если она была предусмотрена договором;
• ст. 90 Трудового кодекса ("Дисциплинарная ответственность");
• ст. 137 Уголовного кодекса ("Нарушение неприкосновенности частной жизни").

Таким образом, сейчас максимальная сумма санкции, предусмотренной в КоАП РФ для юрлиц, составляет 300 тыс. руб.

МНЕНИЕ

Фото: личный архив эксперта

Андрей Клишас, Председатель комитета Совета Федерации по конституционному законодательству и государственному строительству, сенатор:

"Представляется, что предусмотренный действующими положениями ст. 13.11 КоАП размер административного штрафа не отвечает принципу соразмерности наказания последствиям от произошедших утечек персональных данных в результате противоправных, виновных действий правонарушителя, тяжести, размера и характера причиненного гражданам ущерба. Соответствующим законопроектом¹ предлагается увеличить размеры административных штрафов за обработку персональных данных в не предусмотренных законодательством РФ случаях либо обработку персональных данных, несовместимую с целями сбора персональных данных".

---

Что касается уголовной ответственности, то сейчас УК РФ не содержит норм, прямо предусматривающих наказание за неправомерные действия с персональными данными. Указанная выше ст. 137 защищает именно частную жизнь гражданина, это более широкое понятие, в которое включаются не только персональные данные. Следовательно, она не имеет прямого отношения к защите ПДн. 

Андрей Клишас подчеркивает, что в целях создания дополнительных уголовно-правовых механизмов борьбы с преступными деяниями в сфере персональных данных УК РФ предлагается дополнить² новой статьей. "Она предусматривает уголовную ответственность за незаконные использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем", – указывает сенатор.

Планы по регулированию

Необходимость внесения поправок, ужесточающих ответственность за утечку персональных данных, обоснована довольно малозначительным размером существующих санкций, не позволяющим нарушителям понести заслуженное наказание. Поэтому еще 12 января 2023 года Президент РФ Владимир Путин утвердил перечень поручений по итогам заседания Совета по развитию гражданского общества и правам человека, состоявшегося 7 декабря 2022 года. Среди них – необходимость установления оборотных штрафов в отношении компаний, допускающих утечку персональных данных, усиление ответственности за их незаконное использование и т. д. Таким образом, 4 декабря 2023 года в Госдуму были внесены два законопроекта, направленные на ужесточение административной (далее – законопроект № 502104-8) и уголовной (далее – законопроект № 502113-8) ответственности за нарушение порядка обработки ПДн и их незаконный оборот, а 23 января 2024 года они прошли первое чтение.

Законопроект № 502104-8 ужесточает существующие в настоящий момент штрафы за утечку ПДн. В пояснительных материалах к предлагаемым поправкам указано, что нынешний размер штрафа не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений.

Таким образом, в случае принятия законопроекта сумма штрафных санкций значительно возрастет.

МНЕНИЕ

Фото: личный архив эксперта

Антон Немкин, депутат Госдумы, член Комитета по информационной политике, информационным технологиям и связи, координатор федерального партийного проекта "Цифровая Россия":

"Пожалуй, самые ожидаемые законопроекты последних лет – поправки в административный и уголовный кодексы, которые предусматривают значительное усиление наказания за допущение утечек данных и в целом неправомерную обработку такой информации. После их принятия ответственность будет расти вместе с объемом "слитой" информации. Так, если утечка затронула до 10 тыс. субъектов ПДн, юрлицам грозит штраф от 3 млн до 5 млн руб., от 10 до 100 тыс. субъектов – штраф составит уже от 5 млн до 10 млн руб., более 100 тыс. – от 10 млн до 15 млн руб. За повторные правонарушения будут действовать санкции в виде оборотных штрафов до 3% выручки за предшествующий год. При этом сумма такого штрафа не может быть менее 15 млн руб. и более полумиллиарда руб.".

---

Более наглядно разница между действующими нормами и грядущими изменениями представлена в таблице.

"По всем новым административным составам ИП будут нести ту же ответственность (в тех же размерах), что и юрлица. Об этом прямо говорится в новой предлагаемой редакции примечания к ст. 13.11 КоАП. В действующей редакции, кстати, заложен тот же уравнительный принцип, но только по отношению к двум частям статьи из двенадцати (8 и 9). Согласно проектируемой редакции предпринимателей-нарушителей обяжут платить штрафы для юрлиц (наравне с ними) за правонарушения, предусмотренные одиннадцатью из двадцати частей ст. 13.11 КоАП (1.1, 8-17)", поясняет управляющий партнер Адвокатского бюро г. Москвы "Матюнины и Партнеры", председатель комиссии Гильдии российских адвокатов по защите и безопасности бизнеса Олег Матюнин.

"Против формулировок законопроектов об ужесточении ответственности за утечки ПДн высказываются представители как крупного, так и среднего бизнеса. Законопроект в нынешней редакции не содержит нормы о снижении размера штрафа при соблюдении оператором требований о несении расходов на мероприятия по ИБ, выплаты пострадавшим от утечки гражданам и т. д. Эти вопросы должны быть учтены законодателем и рассмотрены во втором чтении законопроекта. О малом бизнесе и говорить не приходится: у них попросту не будет средств на реализацию всех мер защиты ПДн и инвестиции в ИБ", обращает внимание управляющий RTM Group, эксперт в области IT-права и кибербезопасности Евгений Царев. 

Новая статья в Уголовном кодексе

Другим законопроектом (№ 502113-8) предлагается внести изменения в УК РФ, добавив в него новую ст. 272.1 "Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения". Она предусматривает лишение свободы на срок до 10 лет и штраф до 3 млн руб. В пояснительных материалах к законопроекту указано, что поправки предусматривают уголовную ответственность для злоумышленников, которые незаконно собирают, хранят, используют и (или) передают компьютерную информацию, содержащую персональные данные, полученные с помощью неправомерного доступа к средствам их хранения, обработки или передачи.

Норма будет включать в себя 6 частей. В частности, лишением свободы до 8 лет и штрафом до 2 млн руб. будет наказываться незаконная передача персональных данных в другие страны. Кроме того, за создание и (или) администрирование сайта в Интернете, информационной системы, программы для ЭВМ, предназначенных для незаконного хранения, передачи и других действий с персональными данными максимальное наказание составит до 5 лет лишения свободы со штрафом в размере до 700 тыс. руб. "Следует обратить внимание, что все составы преступлений, предусмотренные новой статьей УК РФ, отнесены к категории не ниже средней тяжести, что в свою очередь увеличит срок давности привлечения виновных лиц к уголовной ответственности, а также период погашения судимости в целях профилактики рецидива", – подчеркивает Андрей Клишас.

"Если говорить об уголовной ответственности, то она предусмотрена как для профессиональных киберпреступников, так и для рядовых сотрудников компаний, которые решили зарабатывать на сливах информации. Тем, кто незаконно собирает, хранит, использует и передает персональные данные, грозит лишение свободы на срок до 4 лет. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или речь идет об организованной преступности – срок увеличивается до 10 лет тюрьмы", – обращает внимание Антон Немкин. 

Согласие на обработку персональных данных хотят запретить включать в другие документы

24 июля 2024 года в Госдуму был внесен законопроект⁴, направленный на предотвращение избыточной обработки персональных данных россиян. В Закон РФ от 7 февраля 1992 г. № 2300-I "О защите прав потребителей" предлагают добавить правило, которое запрещает продавцам и исполнителям отказывать в предоставлении информации о товаре из-за того, что покупатель не хочет предоставлять свои ПДн. Однако это правило не будет распространяться на случаи, когда предоставление таких данных обязательно по закону.

В пояснительных материалах к законопроекту отмечается, что обязанность пользователя предоставлять согласие на обработку ПДн не должно являться обязательным условием для получения доступа к информации о товарах (работах, услугах) независимо от того, будут ли они приобретены. Данная практика приводит к избыточному сбору ПДн граждан, которые используются по большей части в целях направления рекламной и иной информации для продвижения товаров и услуг (спама).

В случае принятия закон вступит в силу с 1 марта 2025 года. Его цель – ограничить передачу персональных данных россиян посторонним и уменьшить риск утечки и незаконного использования этой информации. 

Гражданам предлагают упросить процедуру отзыва согласия 

В апреле 2024 года в Госдуму был внесен законопроект⁵, которым устанавливается возможность отзыва согласия на обработку персональных данных в той же форме, в какой оно было получено. Изменения хотят внести в ст. 9 Закона № 152-ФЗ.

Напомним, что сейчас в указанном законе не установлен порядок отзыва такого согласия. Обычно составляется официальное письмо в адрес организации, которой оно было представлено. А это предполагает дополнительные временные и материальные затраты, а также существенным образом затрудняет процесс отзыва согласия.

Кроме того, в пояснительных материалах к законопроекту указано, что он предусматривает в качестве обязательного требования к оператору обеспечивать возможность отзыва такого согласия как в письменной форме, так и в форме электронного документа на страницах принадлежащего ему сайта в сети "Интернет", с использованием которого происходит получение персональных данных. 

Возможные направления развития сферы персональных данных

На Петербургском международном юридическом форуме, проходившем с 26 по 28 июня 2024 года, в рамках сессии "Персональные данные – зона особого внимания" выступил заместитель руководителя Роскомнадзора Милош Вагнер. Он озвучил некоторые проблемы и приоритетные пути эволюции регулирования персональных данных, которые выглядят следующим образом.

1. Сейчас большинство согласий даются не осознанно и не в интересах человека, поэтому этот документ уже можно признать устаревшим. В связи с этим в законодательстве имеет смысл закрепить случаи, когда именно оператор имеет право его требовать. Кроме того, один из вариантов дальнейшего развития заключается в полном отказе от предоставления такого согласия.
2. Механизм возражения против обработки ПДн может быть также урегулирован законодательно. При этом он должен работать "как отказ от рекламных звонков, в 1 клик";
3. Необходима просветительская работа в отношении операторов ПДн:

• они не одноранговые, следовательно, требования к ним и их обязанности разнятся; 
• необходимы четкие инструкции по соблюдению принципов обработки ПДн (она не должна быть избыточна, нужны четкие цели для обработки);
• следует уходить от накапливания данных, требуется введение самоконтроля операторов ПДн, введение добровольной компенсации, а не штрафов в случае нарушения (перевод административной ответственности в виде штрафов в гражданско-правовую). 

Подведем итоги

1. Существенное ужесточение наказания за утечку ПДн обосновано увеличивающимся количеством их незаконного использования. По мнению Андрея Клишаса, введение повышенных мер административного наказания и оборотных штрафов за массовые утечки ПДн в зависимости от размера и характера причиненного ущерба, тяжести содеянного, будет способствовать предупреждению нарушений законодательства РФ в области персональных данных.
2. Указанные законопроекты, скорее всего, будут скорректированы в ходе второго чтения. "Безусловно, ко второму чтению мы будем дорабатывать законопроекты, диалог с бизнес-сообществом на эту тему продолжается. Но безоговорочно в данном случае одно – интересы граждан должны быть превыше всего, поэтому мы должны решить проблему с утечками данных раз и навсегда", – обратил внимание Антон Немкин.
3. Для минимизации количества утечек ПДн также были разработаны поправки, направленные на уменьшение количества согласий на их обработку, а также на прекращение их избыточного сбора для последующей рассылки спама.

_____________________________

¹ С текстом законопроекта № 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" и материалами к нему можно ознакомиться на официальном сайте Госдумы.
² С текстом законопроекта № 502113-8 "О внесении изменений в Уголовный кодекс Российской Федерации" и материалами к нему можно ознакомиться на официальном сайте Госдумы.
³ К специальным категориям персональных данных (ст. 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных") относится информация о:
- расовой, национальной принадлежности;
- политических взглядах;
- религиозных или философских убеждениях;
- состоянии здоровья и интимной жизни.
⁴ С текстом законопроекта № 679980-8 "О внесении изменений в статью 9 Федерального закона "О персональных данных" и статью 10 Закона Российской Федерации "О защите прав потребителей" и материалами к нему можно ознакомиться на официальном сайте Госдумы.
⁵ С текстом законопроекта № 608384-8 "О внесении изменений в статью 9 Федерального закона "О персональных данных" и материалами к нему можно ознакомиться на официальном сайте Госдумы.