Госдума ужесточила ответственность за утечки персональных данных
· ИнтерфаксМосква. 26 ноября. INTERFAX.RU - Госдума во вторник приняла во втором и в третьем чтении законы об усилении административной и уголовной ответственности за утечки персональных данных и их незаконный оборот.
Первый из принятых законов предусматривает штрафы в зависимости от объема утечки данных субъектов персональных данных допущенной оператором.
Так, за незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов (по закону - уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу - ИФ) предлагается установить штрафы: для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц - от 200 тыс. до 400 тыс. рублей; для юридических лиц - от 3 млн до 5 млн рублей.
За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц - от 300 тыс. до 500 тыс. руб.; для юридических лиц - от 5 млн до 10 млн руб.
Согласно закону, за массовую утечку данных (более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов) штрафы вырастут до 400 тыс., 600 тыс. и до 15 млн рублей; при повторных нарушениях штрафы вырастут до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц - от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.
Предусматривается также административная ответственность за утечку специальной категории персональных данных в виде штрафа на граждан в размере от 300 тыс. до 400 тыс. руб.; на должностных лиц - от 1 млн до 1,3 млн руб.; на юридических лиц - от 10 млн до 15 млн руб.
За повторные утечки таких данных - штраф на граждан в размере от 500 тыс. до 800 тыс. руб.; на должностных лиц - от 1,5 млн до 2 млн руб., в отношении юридических лиц предусматривается оборотный штраф - от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо размера собственных средств кредитной организации на дату совершения административного правонарушения, но не менее 25 млн руб. и не более 500 млн руб.
Вводится также административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных - штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц - от 30 тыс. до 50 тыс. руб.; на юридических лиц - от 100 тыс. до 300 тыс. руб.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных - штраф на граждан в размере от 50 тыс. до 100 тыс. руб.; на должностных лиц - от 400 тыс. до 800 тыс. руб.; на юридических лиц - от 1 млн до 3 млн руб.
Кроме этого устанавливается административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.
Вторым законом в Уголовный кодекс вводится новая статья, касающаяся незаконного использования персональных данных, с установлением штрафа до 300 тыс. рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.
При этом, "если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тыс. рублей, либо в размере дохода осужденного за два года, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок", сказал, комментируя закон, глава комитета Госдумы по информационной политике Александр Хинштейн.
Если преступление было совершено в корыстных целях с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до 1 млн рублей либо в размере дохода осужденного за 3 года; срок принудительных работ - до 5 лет; срок лишения свободы - до 6 лет, информировал политик.
Хинштейн подчеркнул, что в двух последних случаях также может быть назначен дополнительный штраф и запрет на занятие определённой деятельностью. "Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до 8 лет, а если преступление повлекло тяжкие последствия - на срок до 10 лет", - отметил глава комитета.
Парламентарий отметил, что "действие статьи УК РФ не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд".