500 миллионов за утечку: Госдума приняла закон о защите данных
NewsMakerДанные пользователей становятся предметом строгого контроля.
Госдума во втором и третьем чтении приняла законы, которые значительно ужесточают административную ответственность за утечки персональных данных.
Так, за то, что оператор не уведомил или несвоевременно уведомил Роскомнадзор о планах осуществить обработку персональных данных, вводится штраф, который для граждан составляет от 5000 до 10 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, а для организаций — от 100 000 до 300 000 рублей.
То же нарушение в случае, если установлена неправомерная или случайная передача данных, повлечет штраф в размере:
Если же за таким нарушением последовала передача персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов, то гражданин может получить штраф на сумму от 200 000 до 300 000 рублей, должностное лицо — от 300 000 до 500 000 рублей, а организация — от 5 млн до 10 млн рублей.
В случае, если речь идет о передаче персональных данных более 100 000 субъектов или более 1 млн идентификаторов, то штраф будет составлять:
Александр Хинштейн сообщил дополнительные подробности принятых законопроектов. По его словам, в ходе длительной дискуссии обсуждались смягчающие обстоятельства для нарушителей. В итоге был согласован подход Минцифры, который предусматривает смягчение ответственности при совокупности трех условий:
Помимо этого, вводится административная ответственность за отказ в предоставлении государственной/муниципальной/иной услуги, если гражданин не хочет предоставлять свою биометрию. Устанавливается ответственность и за невыполнение мер по обеспечению безопасности биометрических персданных в Единой биометрической системе (ЕБС).
В Уголовном кодексе появится новая статья 272.1, которая предусматривает ответственность за незаконное хранение, сбор и передачу персональных данных, полученных противоправным путем. В зависимости от тяжести деяния наказание может составить до 10 лет лишения свободы.
Законодатели также вводят уголовную ответственность за создание и функционирование интернет-ресурсов для заведомо незаконного хранения/ передачи «криминальных» персданных.
При этом Хинштейн подчеркнул, что действие новых составов УК РФ не коснется обработки персональных данных для личных и семейных нужд граждан. Это также не затронет и специалистов инфобеза, расследующих утечки: если сама их деятельность законна — вопросов к ним не возникнет.
Госдума во втором и третьем чтении приняла законы, которые значительно ужесточают административную ответственность за утечки персональных данных.
Так, за то, что оператор не уведомил или несвоевременно уведомил Роскомнадзор о планах осуществить обработку персональных данных, вводится штраф, который для граждан составляет от 5000 до 10 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, а для организаций — от 100 000 до 300 000 рублей.
То же нарушение в случае, если установлена неправомерная или случайная передача данных, повлечет штраф в размере:
- для граждан — от 50 000 до 100 000 рублей,
- для должностных лиц — от 400 000 до 800 000 рублей,
- для юрлиц — от 1 млн до 3 млн рублей.
Если же за таким нарушением последовала передача персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов, то гражданин может получить штраф на сумму от 200 000 до 300 000 рублей, должностное лицо — от 300 000 до 500 000 рублей, а организация — от 5 млн до 10 млн рублей.
В случае, если речь идет о передаче персональных данных более 100 000 субъектов или более 1 млн идентификаторов, то штраф будет составлять:
- для граждан — от 300 000 до 400 000 рублей,
- для должностных лиц — от 400 000 до 600 000 рублей,
- для юрлиц — от 10 млн до 15 млн рублей.
Александр Хинштейн сообщил дополнительные подробности принятых законопроектов. По его словам, в ходе длительной дискуссии обсуждались смягчающие обстоятельства для нарушителей. В итоге был согласован подход Минцифры, который предусматривает смягчение ответственности при совокупности трех условий:
- ежегодные инвестиции оператора в информационную безопасность в размере не менее 0,1% от оборота или выручки в течение трех лет;
- отсутствие отягчающих обстоятельств (например, привлечения к административной ответственности);
- документальное подтверждение соблюдения требований по защите персональных данных.
Помимо этого, вводится административная ответственность за отказ в предоставлении государственной/муниципальной/иной услуги, если гражданин не хочет предоставлять свою биометрию. Устанавливается ответственность и за невыполнение мер по обеспечению безопасности биометрических персданных в Единой биометрической системе (ЕБС).
В Уголовном кодексе появится новая статья 272.1, которая предусматривает ответственность за незаконное хранение, сбор и передачу персональных данных, полученных противоправным путем. В зависимости от тяжести деяния наказание может составить до 10 лет лишения свободы.
Законодатели также вводят уголовную ответственность за создание и функционирование интернет-ресурсов для заведомо незаконного хранения/ передачи «криминальных» персданных.
При этом Хинштейн подчеркнул, что действие новых составов УК РФ не коснется обработки персональных данных для личных и семейных нужд граждан. Это также не затронет и специалистов инфобеза, расследующих утечки: если сама их деятельность законна — вопросов к ним не возникнет.