Госдума единогласно приняла во 2-м и 3-м окончательном чтениях пакет законопроектов, ужесточающих административную ответственность и вводящих уголовную ответственность за утечку персональных данных.
Согласно новым законопроектам, административная ответственность за действия/бездействие оператора, приведшие к утечке персональных данных, увеличена в несколько раз. Размер штрафа будет напрямую зависеть от объема утечки:
- от 3 до 5 миллионов рублей для юридических лиц за утечку данных от 1 000 до 10 000 пострадавших,
- от 5 до 10 миллионов рублей за утечку данных от 10 000 до 100 000 субъектов,
- от 10 до 15 миллионов рублей за утечку данных более 100 000 субъектов.
Если компания снова протечет, она заплатит штраф с оборота: от 1 до 3% от оборота прошлого года.
Самые жесткие санкции применяются в случае утечки биометрических персональных данных. В случае повторного нарушения штраф составит от 25 до 500 миллионов рублей.
Ответственность за правонарушение может быть смягчена при соблюдении трех условий:
- компания инвестирует в информационную безопасность ежегодно – не менее 0,1% от оборота/дохода за 3 года;
- отсутствуют отягчающие обстоятельства, например административная ответственность;
- документально подтверждено соблюдение требований по защите персональных данных.
Кроме того, согласно новым законопроектам, компания будет нести административную ответственность за отказ в предоставлении услуги, если гражданин не желает предоставлять свои биометрические данные. Несоблюдение мер по обеспечению безопасности персональных биометрических данных в Единой биометрической системе (ЕБС) также будет наказываться.
В Уголовном кодексе появится новая статья 272.1. Он предусматривает ответственность за незаконное хранение/сбор/передачу персональных данных, полученных незаконным путем.
В зависимости от тяжести правонарушения наказание может составлять до 10 лет лишения свободы.
Кроме того, уголовная ответственность будет наступать за создание/эксплуатацию интернет-ресурсов, предназначенных для заведомо незаконного хранения/передачи персональных данных.
Новые положения УК РФ не коснутся обработки персональных данных для личных и семейных нужд граждан, а также специалистов по информационной безопасности, расследующих утечки, если они действуют в рамках закона.
Депутат Госдумы Александр Хинштейн считает, что принятие новых законов — это большой шаг на пути наведения порядка в цифровой среде.
Я глубоко убежден, что без серьезной ответственности мы не сможем заставить компании инвестировать в информационную безопасность и защищать персональные данные россиян. А без этого победить киберпреступность нам просто никогда не удастся!
Напомним, Роскомнадзор зафиксировал 110 случаев утечки данных за девять месяцев 2024 года.
Источник: Telegram-канал Александр Хинштейн