Аналитика
2024-01-29 12:50

О значительном увеличении ответственности в области персональных данных

В декабре 2023 года в отечественном законодательстве произошли существенные изменения сфере обработки персональных данных (ПД).

1. 23 декабря 2023 года вступил в силу закон с изменениями в КоАП РФ, которые:

- увеличивают ответственность за обработку ПД, когда требуется письменное согласие субъекта, но оно не получено или оформлено неправильно. Штраф для компаний – до 700 тыс. руб., за повторное нарушение – до 1,5 млн руб.;

- вводят ответственность за нарушения при размещении биометрических ПД в единой биометрической системе (ЕБС). Штраф для компаний – до 1 млн руб. Это коснется банков и тех организаций, которые будут собирать и обновлять биометрию для ЕБС. Иные нарушения при обработке биометрии также могут повлечь ответственность, в частности, по ч. ч. 1, 1.1, 2, 2.1 ст. 13.11 КоАП РФ.

2. 12 декабря 2023 года вступил в силу закон, временно смягчающий требования в области авторизации пользователей интернет-ресурсов.

С 1 декабря 2023 г. российские собственники информационных ресурсов (например, интернет-сайтов) для авторизации пользователей, находящихся в России (для верификации того, что пользователь действительно является тем, кем себя указывает), должны применять один из следующих способов:

- мобильный номер телефона;

- сервис Госуслуг;

- ЕБС или иную информационную систему.

Информационная система должна принадлежать гражданину РФ или юридическому лицу, подконтрольному российскому публично-правовому образованию или гражданину.

Новый закон вводит переходный период до 1 января 2025 года, в течение которого действуют лояльные требования к указанным информационным системам.

3. 4 декабря 2023 года в Госдуму внесены законопроекты (№ 502104-8 и № 502113-8), существенно увеличивающие ответственность за нарушения при обработке ПД.

Предлагается дополнить ст. 13.11 КоАП РФ новыми частями 12–17, согласно которым за действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПД, может быть назначен значительный административный штраф, размер которого будет зависеть от числа пострадавших субъектов, объема или значимости утекших данных.

Штрафны для организаций, согласно предлагаемым изменениям, могут составить:

- до 5 млн руб., если утечка коснется от 1 тыс. до 10 тыс. субъектов (и/или от 10 тыс. до 100 тыс. идентификаторов);

- до 10 млн руб., если пострадают от 10 тыс. до 100 тыс. субъектов (и/или от 100 тыс. до 1 млн идентификаторов);

- до 15 млн руб. для инцидента в отношении свыше 100 тыс. субъектов (и/или более 1 млн идентификаторов).

За утечку специальной категории ПД компанию могут оштрафовать на сумму до 15 млн руб. вне зависимости от числа пострадавших субъектов или утекших записей.

За повторное же нарушение размер штрафа для организаций будет зависеть от совокупного размера выручки (до 3%) за предшествующий год (или иной указанный в законе период), но в любом случае составит не менее 15 млн и не более 500 млн руб.

Также законопроектом устанавливается:

- ответственность за неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку ПД (для компаний штраф до 300 тыс. руб.);

- ответственность за неуведомление (несвоевременное уведомление) Роскомнадзора об утечке (для компаний штраф до 3 млн руб.);

- существенное увеличение штрафов за общие нарушения в области ПД (ч.ч. 1 и 1.1 ст. 13.11 КоАП РФ - обработка ПД в случаях, не предусмотренных законодательством РФ, либо несовместимая с целями сбора ПД).

В УК РФ вводится ст. 272.1, устанавливающая новые составы преступлений (законопроект № 502113-8):

- незаконное использование (передача, сбор, хранение) компьютерной информации, содержащей ПД. Максимальное наказание (с учетом отягчающих обстоятельств) - до 10 лет лишения свободы со штрафом в размере до 3 млн руб.; возможно лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет;

- создание и/или обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконной обработки компьютерной информации, содержащей ПД. Максимальное наказание - до 5 лет лишения свободы со штрафом в размере до 700 тыс. руб.; возможно лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет.

Указанные законопроекты планируется рассмотреть в весеннюю сессию 2024 года.

Помимо этого, 22 декабря 2023 года в Госдуму внесен законопроект, предлагающий наделить Роскомнадзор правом проводить внеплановые проверки при поступлении к нему информации об утечках.

На основании вышеизложенного предлагаем бизнесу следующие рекомендации:

1) Проведите ревизию локальных актов, согласий и договоров на предмет их соответствия новому правовому регулированию.

2) Оцените, насколько защищены от утечек информационные системы, используемые в Вашем бизнесе.

3) Проверьте, нужно ли корректировать работу интернет-сайта или иных цифровых ресурсов относительно новых правил об авторизации российских пользователей.