Госдума ужесточила ответственность за утечки персональных данных

Первый из принятых законов предусматривает штрафы в зависимости от объема утечки данных субъектов персональных данных, допущенной оператором. Так, за незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов (по закону — уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу) предлагается установить штрафы: для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц — от 200 тыс. до 400 тыс. рублей; для юридических лиц — от 3 млн до 5 млн рублей.

За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. рублей; для должностных лиц — от 300 тыс. до 500 тыс. рублей.; для юридических лиц — от 5 млн до 10 млн рублей.

Согласно закону, за массовую утечку данных (более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов) штрафы вырастут до 400 тыс., 600 тыс. и до 15 млн рублей; при повторных нарушениях штрафы вырастут до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн и не более 500 млн рублей.

Предусматривается также административная ответственность за утечку специальной категории персональных данных в виде штрафа на граждан в размере от 300 тыс. до 400 тыс. рублей; на должностных лиц — от 1 млн до 1,3 млн рублей; на юридических лиц — от 10 млн до 15 млн рублей.

За повторные утечки таких данных — штраф на граждан в размере от 500 тыс. до 800 тыс. рублей; на должностных лиц — от 1,5 млн до 2 млн рублей, в отношении юридических лиц предусматривается оборотный штраф — от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо размера собственных средств кредитной организации на дату совершения административного правонарушения, но не менее 25 млн и не более 500 млн рублей.

Вводится также административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных — штраф на граждан в размере от 5 тыс. до 10 тыс. рублей; на должностных лиц — от 30 тыс. до 50 тыс. рублей; на юридических лиц — от 100 тыс. до 300 тыс. рублей.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, предусмотрен штраф для граждан в размере от 50 тыс. до 100 тыс. рублей; для должностных лиц — от 400 тыс. до 800 тыс. рублей; для юридических лиц — от 1 млн до 3 млн рублей.

Кроме этого устанавливается административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных, отмечает "Интерфакс".

Вторым законом в Уголовный кодекс вводится новая статья, касающаяся незаконного использования персональных данных, с установлением штрафа до 300 тыс. рублей или в размере дохода человека, признанного в этом виновным, за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.

При этом, "если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тыс. рублей, либо в размере дохода осужденного за два года, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок". Об этом сказал, комментируя закон, глава комитета Госдумы по информационной политике Александр Хинштейн.

Если преступление было совершено в корыстных целях с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до 1 млн рублей либо в размере дохода осужденного за 3 года; срок принудительных работ — до 5 лет; срок лишения свободы — до 6 лет, информировал политик.

Хинштейн подчеркнул, что в двух последних случаях также может быть назначен дополнительный штраф и запрет на занятие определенной деятельностью. "Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до 8 лет, а если преступление повлекло тяжкие последствия — на срок до 10 лет", — отметил глава комитета. Парламентарий отметил, что "действие статьи УК РФ не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд".