Об ужесточении административной и уголовной ответственности за нарушения в области персональных данных
26.12.2023
Булаев Михаил Александрович, ведущий консультант-аналитик
1. Федеральным законом от 12 декабря 2023 года № 589-ФЗ внесен ряд ужесточений в ст. 13.11 Кодекса Российской Федерации об административных правонарушениях. Эти изменения связаны с увеличением размеров административных штрафов за уже действующие составы административных правонарушений в области персональных данных.
Заканчивается сложный 2023 год, подводим итоги.
В 2023 году законодателями продолжена работа по ужесточению ответственности за нарушения в области персональных данных. В том числе это обусловлено участившимися случаями утечек персональных данных граждан при их обработке в информационных системах как органов государственной власти, так и частных компаний.
В этом обзоре даётся анализ только что принятых изменений в КоАП и изменений, одобрение которых ожидается в ближайшее время.
Теперь за обработку персональных данных без согласия в письменной форме субъекта на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации (ч. 2 ст. 13.11), предусматривается наложение административного штрафа в следующих размерах:
• на граждан в размере от 10 до 15 тыс. рублей (было 6-10 тыс.);
• на должностных лиц ─ от 100 до 300 тыс. рублей (было 20-40 тыс.);
• на юридических лиц ─ от 300 до 700 тыс. рублей (было 30-150 тыс.).
За повторное совершение административного правонарушения, предусмотренного частью 2 ст. 13.11 также увеличивается размер штрафов (ч. 2.1 ст. 13.11):
• на граждан в размере от 15 до 30 тыс. рублей (было 10-20 тысяч);
• на должностных лиц ─ от 300 до 500 тыс. рублей (было 40-100 тысяч);
• на юридических лиц ─ от 1 до 1,5 миллиона рублей (300-500 тысяч).
2. Этим же Федеральным законом от 12 декабря 2023 года № 589-ФЗ в КоАП включена новая статья 13.11.3 "Нарушение требований в области размещения биометрических персональных данных", в соответствии с которой за размещение и обновление банками, многофункциональными центрами предоставления государственных и муниципальных услуг, иными организациями в случаях, определенных федеральными законами, биометрических персональных данных субъекта персональных данных в государственной информационной системе "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" с нарушением установленных законодательством Российской Федерации требований предусматривается наложение административного штрафа:
• на должностных лиц в размере от ста тысяч до трехсот тысяч рублей;
• на юридических лиц ─ от пятисот тысяч до одного миллиона рублей.
В частности, такие санкции могут быть применены к нарушителям за несоблюдение требования о необходимости получения согласия субъекта в письменной форме на обработку его биометрических персональных данных.
3. Четвёртого декабря 2023 г. в Государственную думу внесены следующие законопроекты:
- законопроект № 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)";
- законопроект № 502113-8 "О внесении изменений в Уголовный кодекс Российской Федерации (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные)".
В пояснительных записках к проектам этих законов законодатель обосновывает необходимость введения более жёстких санкций тем, что, попав в руки к злоумышленникам, персональные данные смогут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений. Рассматриваемые изменения в части ужесточения административной ответственности связаны, в том числе, и с введением оборотных штрафов за утечки персональных данных.
Рассмотрим, какие меры ответственности в этих проектах предлагают законодатели.
3.1. Усиление административной ответственности за нарушение порядка обработки персональных данных.
Предложенные изменения в КоАП РФ предусматривают следующие санкции:
а). Увеличение штрафов за обработку персональных данных, не совпадающую с целью их сбора (уже действующий состав правонарушения, установленный ч. 1 ст. 13.11):
• для граждан в размере от 10 до 15 тыс. руб. (было 2-6 тыс. руб.);
• для должностных лиц ─ от 50 до 100 тыс. руб. (было 10-20 тыс. руб.);
• для юридических лиц ─ от 150 до 300 тыс. руб. (было 60-100 тыс. руб.).
б). Увеличение штрафов за повторное нарушение по этому составу правонарушений (ч. 1.1 ст. 13.11):
• для граждан в размере от 15 до 30 тыс. руб. (было 4-12 тыс. руб.);
• для должностных лиц ─ от 100 до 200 тыс. руб. (было 20-50 тыс. руб.);
• для юридических лиц ─ от 300 до 500 тыс. руб. (было 100-300 тыс. руб.);
в). Статью 13.11 предлагается дополнить новыми частями 10 - 17, устанавливающими штрафы за следующие составы административных правонарушений и в следующих объемах:
Штрафы за отсутствие уведомления или несвоевременное уведомление об обработке и утечках персональных данных (ч. 10 и ч. 11 ст. 13.11):
• для граждан в размере от 5 до 10 тыс. руб.;
• для должностных лиц ─ от 30 до 50 тыс. руб.;
• для юридических лиц ─ от 100 до 300 тыс. руб.
Штрафы за отсутствие уведомления или несвоевременное уведомление оператором об утечке персональных данных в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав субъектов персональных данных:
• для граждан в размере от 50 до 100 тыс. руб.;
• для должностных лиц ─ от 400 до 800 тыс. руб.;
• для юридических лиц ─ от 100 до 300 тыс. руб.
Штрафы за действия (бездействия) операторов, повлекшие неправомерную передачу (предоставления, распространения, доступа) персональных данных (т.е. другими словами, штрафы за утечку персональных данных), которые не содержат признаки уголовного преступления (ч. 12 – ч. 17 ст. 13.11) в следующих размерах:
─ при объеме утечки персональных данных от 1 до 10 тысяч человек (или от 10 тыс. до 100 тыс. идентификаторов):
• для граждан в размере от 100 до 200 тыс. руб.;
• для должностных лиц ─ от 800 тыс. руб. до 1 млн руб.;
• для юридических лиц ─ от 3 млн до 5 млн руб.
─ при объеме утечки персональных данных от 10 тыс. до 100 тыс. человек (или от 100 тыс. до 1 млн идентификаторов):
• для граждан лиц в размере от 200 до 300 тыс. руб.;
• для должностных лиц ─ в размере от 1 млн руб. до 1,5 млн руб.;
• для юридических лиц ─ в размере от 5 млн до 10 млн руб.
─ при объеме утечки персональных данных более 100 тыс. человек (или более 1 млн идентификаторов):
• для граждан в размере от 300 до 400 тыс. руб.;
• для должностных лиц от 1,5 млн руб. до 2 млн руб.;
• для юридических лиц ─ в размере от 10 млн до 15 млн руб.
Штрафы за повторную утечку персональных данных:
• для граждан в размере от 400 до 600 тыс. руб.;
• для должностных лиц ─ от 2 млн руб. до 4 млн руб.;
• для юридических лиц ─ оборотный штраф в размере от 0,1% до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение.
Штрафы за утечку специальной категории персональных данных:
• для граждан лиц в размере от 300 до 400 тыс. руб.;
• для должностных лиц ─ от 1,5 млн руб. до 2 млн руб.;
• для юридических лиц ─ от 10 млн до 15 млн руб.
Штрафы за повторную утечку данных специальной категории и в случае третьего нарушения по остальным категориям персональных данных:
• для граждан в размере от 500 до 800 тыс. руб.;
• для должностных лиц ─ от 3 млн руб. до 5 млн руб.;
• для юридических лиц ─ оборотный штраф в размере от 0,1% до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение, но не менее 20 млн руб. и не более 500 млн руб.
3.2. Введение уголовной ответственности за преступления в области персональных данных.
Согласно законопроекту № 502113-8 УК РФ предполагается дополнить новой статьей 272.1 "Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения".
В соответствии с пояснительной запиской к этому законопроекту необходимость введения уголовной ответственности обосновывается существенным ростом противоправных действий в отношении персональных данных, а также фактов незаконного использования личной информации при совершении различных преступлений, в том числе мошенничеств.
Согласно предлагаемым нововведениям за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа, предусматриваются следующие меры ответственности:
• штраф до 300 тыс. руб. либо принудительные работы на срок до 4 лет, либо лишение свободы на тот же срок;
• то же деяние в отношении компьютерной информации, содержащей специальные категории персональных данных и биометрические персональные данные, наказывается штрафом до 700 тыс. руб. или в размере зарплаты или иного дохода осужденного до 1 года с лишением права заниматься деятельностью до 2 лет, либо принудительными работами до 5 лет, либо лишением свободы на тот же срок;
• если деяния совершены из корыстной заинтересованности, повлекли крупный ущерб, совершены группой по сговору или с использованием служебного положения, то они наказываются штрафом до 1 млн руб. или иного дохода за период до 2 лет с лишением права занимать определенные должности, либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб., либо лишение свободы на срок до 6 лет со штрафом до 1 млн руб.
Также ужесточается ответственность в случае, если перечисленные нарушения сопряжены с трансграничной передачей персональных данных или повлекли тяжкие последствия (приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы, предоставление доступа к персональным данным с целью причинения вреда здоровью, имуществу, ущерба обороне и др.), либо совершены организованной группой.
Какие выводы можно сделать из приведённого анализа?
- Операторам стоит серьёзно отнестись к вводимым изменениям и не откладывать принятие установленных действующим законодательством мер внутреннего регулирования процессов обработки персональных данных для того, чтобы избежать санкций за перечисленные нарушения со стороны надзорных органов, которые с учетом рассмотренных изменений могут быть весьма существенными.
- Также важно отметить, что текущая версия перечисленных законопроектов не рассматривает смягчающих обстоятельств для снижения штрафов для тех операторов, которые выполнили действующие организационно-технические требования по обеспечению безопасности персональных данных, а также не рассматривает условия компенсации за утечки для субъектов персональных данных. То есть для привлечения оператора к административной ответственности достаточно зафиксировать сам факт того, что за счёт его действий (бездействий), произошла неправомерная передача (предоставление, распространение, доступ) персональных данных.