Ужесточение наказания для компаний за «утечку» персональных данных
В чем суть
Законопроекты (№ 502104-8 и № 502113-8)
Планируется внести изменения в статью 13.11 Кодекса об административных правонарушениях РФ. В соответствии с новыми пунктами, за действия или бездействия оператора, приведшие к неправомерной передаче, предоставлению, распространению или доступу к информации, содержащей персональные данные, может быть назначен существенный административный штраф.
Размер этого штрафа зависит от числа пострадавших субъектов, объема или чувствительности утекших данных:
- До 5 миллионов рублей, если нарушение затрагивает от 1 тысячи до 10 тысяч субъектов данных (и/или от 10 тысяч до 100 тысяч идентификаторов);
- До 10 миллионов рублей, если количество пострадавших составляет от 10 тысяч до 100 тысяч человек (и/или от 100 тысяч до 1 миллиона идентификаторов);
- До 15 миллионов рублей в случае нарушения, затрагивающего более 100 тысяч субъектов данных (и/или более 1 миллиона идентификаторов) или при утечке информации, включающей специальные категории персональных данных, например, данные о состоянии здоровья.
За повторное нарушение размер штрафа будет зависеть от общего объема выручки компании за предыдущий год (или другой указанный в законе период), составляя не менее 15 миллионов рублей (или не менее 20 миллионов рублей при утечке специальных категорий персональных данных) и не более 500 миллионов рублей.
Что еще:
Предусмотрена ответственность за неинформирование (или задержку в информировании) Роскомнадзора о намерении обработки персональных данных или о случаях утечки (штрафы до 300 тысяч рублей и до 3 миллионов рублей соответственно).
Второй законопроект предлагает внести изменения в Уголовный кодекс РФ, включив в него статью 272.1, которая устанавливает отягчающие вину обстоятельства:
- незаконное использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем. Наказание (с учетом обстоятельств) составит до 10 лет лишения свободы с штрафом до 3 миллионов рублей; возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет;
- создание или обеспечение функционирования информационных ресурсов, систем или программ, явно предназначенных для незаконного хранения или передачи компьютерной информации, содержащей персональные данные. Наказание - до 5 лет лишения свободы с штрафом до 700 тысяч рублей; также возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет.
Комментарий эксперта
Мы спросили у эксперта, как компания должна уведомить об утечке данных Роспотребнадзор?
Как правило, персональные данные клиентов или сотрудников компании становятся достоянием общественности в результате неправомерного доступа со стороны третьих лиц (хакерские атаки). В случае утечки персональных данных операторы ПДН обязаны уведомлять Роскомнадзор о случаях неправомерной, случайной передачи персональных данных, которая повлекла за собой нарушение прав субъектов данных. Если в организации установлен факт неправомерной или случайной передачи персональных данных третьим лицам, у работодателя есть не более 24 часов, чтобы сообщить об этом в Роскомнадзор. Сообщать нужно так же о случаях незаконного предоставления персональных данных - адресной передачи конкретному третьему лицу, о допуске к персональным данным третьих лиц - когда информация стала известна посторонним людям, но физически они её не получили. В Роскомнадзор, должно быть представлено в обязательном порядке первичное уведомление, в котором указываются сведения:
- о произошедшем инциденте - дата и время выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована. Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
- о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных; Размер процентов исчисляется из денежных сумм, фактически не выплаченных, со дня, следующего за днем, когда эти суммы должны были быть выплачены при своевременном их начислении, по день фактического расчета включительно
- о предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий инцидента;
- о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором.
Кроме того, в уведомлении приводятся данные направившего его оператора: ФИО гражданина или ИП, полное и сокращенное наименование организации, ИНН организации, ИП или физического лица, адрес регистрации по месту жительства (пребывания) физического лица или ИП, адрес организации в пределах его места нахождения,адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).
С момента предоставления уведомления в Роскомнадзор об утечке персональных данных в течение 24 часов, у организации будет ещё 48 часов, чтобы сообщить в ведомство о результатах внутреннего расследования инцидента. Если за это время удалось найти виновников произошедшего, также нужно сообщить сведения о них в Роскомнадзор.