Ответственность за утечки персональных данных будет уголовной

Право

Госдума приняла во втором и третьем чтении поправки, ужесточающие административную и уголовную ответственность за утечки персональных данных и их незаконный оборот. В первую очередь изменения направлены на борьбу со злоупотреблениями коммерческих структур.

Согласие на обработку персональных данных должно будет оформляться отдельно от других документов, в том числе клиентских договоров. Кроме того, предлагается запретить продавцу или владельцу агрегатора ограничивать доступ потребителя к информации в связи с отказом предоставить персональные данные за исключением случаев, когда такая обязанность предусмотрена законом.

Как пояснили авторы поправок, нередко положения о согласии на обработку персональных данных включаются в пользовательские соглашения, а также другие юридические документы, которые размещаются в интернете или предоставляются офлайн. Собранные данные затем используются для рекламных рассылок и спам-звонков.

За незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов (по закону — уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу) предлагается установить штрафы: для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц — от 200 тыс. до 400 тыс. рублей; для юридических лиц — от 3 млн до 5 млн рублей.

За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов предусматривается штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц — от 300 тыс. до 500 тыс. руб.; для юридических лиц — от 5 млн до 10 млн руб.

За массовую утечку данных (более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов) штрафы вырастут до 400 тыс., 600 тыс. и до 15 млн рублей; при повторных нарушениях штрафы вырастут до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.

Предусматривается также административная ответственность за утечку специальной категории персональных данных в виде штрафа на граждан в размере от 300 тыс. до 400 тыс. руб.; на должностных лиц — от 1 млн до 1,3 млн руб.; на юридических лиц — от 10 млн до 15 млн руб.

За повторные утечки таких данных — штраф на граждан в размере от 500 тыс. до 800 тыс. руб.; на должностных лиц — от 1,5 млн до 2 млн руб., в отношении юридических лиц предусматривается оборотный штраф — от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо размера собственных средств кредитной организации на дату совершения административного правонарушения, но не менее 25 млн руб. и не более 500 млн руб.

В случае установления факта неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов персональных данных — штраф на граждан — от 50 тыс. до 100 тыс. руб., а юридические лица заплатят от 1 млн до 3 млн руб.

В Уголовном кодексе РФ появится новая статья касательно незаконного использования персональных данных, за которое предусмотрен штраф до 300 тыс. руб. или в размере дохода осуждённого за период до 1 года, либо принудительные работы на срок до 4 лет, либо лишение свободы на этот же срок. Глава комитета Госдумы по информационной политике Александр Хинштейн уточнил, что «если утекли данные несовершеннолетних или биометрические данные, штраф может достигать 700 тыс. рублей, либо в размере дохода осуждённого за два года, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок».

Если преступление было совершено в корыстных целях с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, то штраф должен составить до 1 млн рублей либо в размере дохода осуждённого за 3 года; срок принудительных работ — до 5 лет; срок лишения свободы — до 6 лет, информировал политик.

Хинштейн подчеркнул, что в двух последних случаях также может быть назначен дополнительный штраф и запрет на занятие определённой деятельностью.

«Если же произошла трансграничная утечка персональных данных, то свободы предлагается лишать на срок до 8 лет, а если преступление повлекло тяжкие последствия — на срок до 10 лет», — отметил он.

Парламентарий добавил, что «действие статьи УК РФ не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд».

Ожидается, что изменения вступят в силу с 1 марта 2025 года.

Источник