WiseAdvice WiseAdvice

Ужесточение наказания для компаний за «утечку» персональных данных

В чем суть

Законопроекты (№ 502104-8 и № 502113-8)

Планируется внести изменения в статью 13.11 Кодекса об административных правонарушениях РФ. В соответствии с новыми пунктами, за действия или бездействия оператора, приведшие к неправомерной передаче, предоставлению, распространению или доступу к информации, содержащей персональные данные, может быть назначен существенный административный штраф.


Размер этого штрафа зависит от числа пострадавших субъектов, объема или чувствительности утекших данных:

  • До 5 миллионов рублей, если нарушение затрагивает от 1 тысячи до 10 тысяч субъектов данных (и/или от 10 тысяч до 100 тысяч идентификаторов);
  • До 10 миллионов рублей, если количество пострадавших составляет от 10 тысяч до 100 тысяч человек (и/или от 100 тысяч до 1 миллиона идентификаторов);
  • До 15 миллионов рублей в случае нарушения, затрагивающего более 100 тысяч субъектов данных (и/или более 1 миллиона идентификаторов) или при утечке информации, включающей специальные категории персональных данных, например, данные о состоянии здоровья.

За повторное нарушение размер штрафа будет зависеть от общего объема выручки компании за предыдущий год (или другой указанный в законе период), составляя не менее 15 миллионов рублей (или не менее 20 миллионов рублей при утечке специальных категорий персональных данных) и не более 500 миллионов рублей.

Что еще:

Предусмотрена ответственность за неинформирование (или задержку в информировании) Роскомнадзора о намерении обработки персональных данных или о случаях утечки (штрафы до 300 тысяч рублей и до 3 миллионов рублей соответственно).

Второй законопроект предлагает внести изменения в Уголовный кодекс РФ, включив в него статью 272.1, которая устанавливает отягчающие вину обстоятельства:

  • незаконное использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем. Наказание (с учетом обстоятельств) составит до 10 лет лишения свободы с штрафом до 3 миллионов рублей; возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет;
  • создание или обеспечение функционирования информационных ресурсов, систем или программ, явно предназначенных для незаконного хранения или передачи компьютерной информации, содержащей персональные данные. Наказание - до 5 лет лишения свободы с штрафом до 700 тысяч рублей; также возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет.


Комментарий эксперта

Светлана Черкасова

Автор: Светлана Черкасова
Методолог-консультант 1C-WiseAdvice


Мы спросили у эксперта, как компания должна уведомить об утечке данных Роспотребнадзор?

Как правило, персональные данные клиентов или сотрудников компании становятся достоянием общественности в результате неправомерного доступа со стороны третьих лиц (хакерские атаки). В случае утечки персональных данных операторы ПДН обязаны уведомлять Роскомнадзор о случаях неправомерной, случайной передачи персональных данных, которая повлекла за собой нарушение прав субъектов данных. Если в организации установлен факт неправомерной или случайной передачи персональных данных третьим лицам, у работодателя есть не более 24 часов, чтобы сообщить об этом в Роскомнадзор. Сообщать нужно так же о случаях незаконного предоставления персональных данных - адресной передачи конкретному третьему лицу, о допуске к персональным данным третьих лиц - когда информация стала известна посторонним людям, но физически они её не получили. В Роскомнадзор, должно быть представлено в обязательном порядке первичное уведомление, в котором указываются сведения:

- о произошедшем инциденте - дата и время выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована. Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;

- о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных; Размер процентов исчисляется из денежных сумм, фактически не выплаченных, со дня, следующего за днем, когда эти суммы должны были быть выплачены при своевременном их начислении, по день фактического расчета включительно

- о предполагаемом вреде, нанесенном правам субъектов персональных данных;

- о принятых мерах по устранению последствий инцидента;

- о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором.

Кроме того, в уведомлении приводятся данные направившего его оператора: ФИО гражданина или ИП, полное и сокращенное наименование организации, ИНН организации, ИП или физического лица, адрес регистрации по месту жительства (пребывания) физического лица или ИП, адрес организации в пределах его места нахождения,адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

С момента предоставления уведомления в Роскомнадзор об утечке персональных данных в течение 24 часов, у организации будет ещё 48 часов, чтобы сообщить в ведомство о результатах внутреннего расследования инцидента. Если за это время удалось найти виновников произошедшего, также нужно сообщить сведения о них в Роскомнадзор.

➜Грамотное юридическое сопровождение бизнеса c оперативным решением любых вопросов
false
Заказ обратного звонка

Нажимая на кнопку «Отправить», вы даете согласие на обработку своих персональных данных

Оставить заявку

Нажимая на кнопку «Отправить», вы даете согласие на обработку своих персональных данных