Госдума увеличила штрафы за утечку персональных данных

26 ноября Госдума приняла в третьем чтении поправки в кодекс об административных правонарушениях и уголовный кодекс, ужесточающие ответственность за утечки персональных данных.

Законы уже одобрил Совет Федерации, теперь их должен подписать президент. Поправки в КоАП РФ вступят в силу через 180 дней после опубликования документа, изменения в УК РФ — через десять дней.

Расскажу, что изменится.

Компании, допустившие утечки персональных данных на бумаге, привлекают к административной ответственности со штрафом до 100 000 ₽, повторная утечка грозит штрафом до 300 000 ₽. А вот за утечку через интернет специальной ответственности не было. Депутаты посчитали, что это больше неприемлемо.

Увеличили штрафы за обработку персональных данных без согласия пользователя либо если такая обработка несовместима с целями их сбора. За нарушение требований руководителю компании или ИП грозит штраф в размере 50 000—100 000 ₽, малым предприятиям — 75 000—150 000 ₽, остальным компаниям — 150 000—300 000 ₽.

За повторное нарушение руководителя компании или ИП могут оштрафовать на 100 000—200 000 ₽, малые предприятия — на 150 000—250 000 ₽, остальные компании — на 300 000—500 000 ₽.

Появилась ответственность за неуведомление Роскомнадзора о намерении обрабатывать персональные данные. Если этого не сделать, компаниям и ИП грозит штраф — от 100 000 до 300 000 ₽.

Появилась ответственность по уведомлению Роскомнадзора о неправомерной или случайной передаче персональных данных. За несоблюдение этого требования компаниям и ИП грозит штраф от 1 до 3 млн рублей.

Усилили ответственность за утечку персональных данных. Она наступит за действия или бездействие, из-за которых персональные данные утекли, при этом ситуация не должна содержать признаков уголовно наказуемого деяния.

Размер штрафа зависит от масштаба утечки — ее будут оценивать будут по количеству пострадавших и по идентификаторам  .

За повторную утечку персональных данных штрафы еще выше. Для ИП и компаний, кроме НКО, — от 1 до 3% от выручки, полученной за год, предшествующий году, в котором выявили нарушения. Но не менее 20 млн и не более 500 млн рублей.

Штраф могут снизить, если нет отягчающих обстоятельств, а инвестиции бизнеса в информационную безопасность на протяжении трех лет были не менее 0,1% от выручки. При этом компания либо ИП должны соблюдать требования к защите данных.

Есть отдельная ответственность за утечку персональных данных с биометрией. Юрлицам и ИП грозит штраф от 15 до 20 млн рублей.

Появилась уголовная ответственность за незаконное использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Наказание — штраф в размере 300 000—400 000 ₽ или принудительные работы на срок до четырех лет, либо лишение свободы на срок до четырех лет.

Если речь о компьютерной информации, содержащей персональные данные несовершеннолетних или биометрию, наказание строже — штраф до 700 000 ₽ или принудительные работы на срок до пяти лет, либо лишение свободы на срок до пяти лет.

Если указанные выше действия повлекли тяжкие последствия либо совершены организованной группой, наказанием может стать лишение свободы на срок до десяти лет.

Ввели уголовную ответственность за создание сайта, предназначенного для хранения и распространения персональных данных, полученных незаконным путем. Это касается и отдельных страниц, например тем на форумах.

Максимальное наказание за это правонарушение — лишение свободы на срок до пяти лет. Действие этой статьи не будет распространяться на случаи обработки персональных данных физлицами для семейных нужд.