Штраф за утечку персональных данных может вырасти до 15 миллионов рублей



alttext

Биометрические персональные данные

А сотрудников компаний, «сливших» информацию, предложено сажать в тюрьму на срок до десяти лет

Сейчас людей, допустивших утечку персональных данных, штрафуют максимум на 12 тысяч, а организации — на 300 тысяч рублей. Такие санкции не препятствуют «сливу» и воровству информации. Группа депутатов и сенаторов предложила существенно усилить ответственность. Для компаний штраф составит от 3 до 15 миллионов рублей, должностным лицам придется заплатить до двух миллионов. А за незаконное использование, хранение и передачу персональных сведений хотят установить уголовную ответственность вплоть до 10 лет лишения свободы. Такой пакет законопроектов (№ 502104-8 и № 502113-8) планируют рассмотреть на заседании Комитета Госдумы по госстроительству и законодательству 15 января.

Санкции не пугают нарушителей

В 2023 году Роскомнадзор зафиксировал 168 случаев утечки персональных данных, в результате в открытый доступ попали больше 300 миллионов записей о россиянах, сообщил ТАСС 9 января со ссылкой на пресс-службу ведомства. Например, в сентябре хакеры получили доступ к базе данных клиентов «МТС Банка», где были указаны их фамилии, ИНН и гражданство. Суды рассмотрели в прошлом году 87 протоколов по подобным делам, а нарушителям выписали 4,6 миллиона рублей штрафов.

Но сегодняшние наказания не стимулируют банки и другие организации создавать надежные системы защиты информации о клиентах. В статье 13.11 Кодекса об административных правонарушениях за утечку персональных данных установлен штраф для физлиц до шести тысяч рублей, для должностных лиц — до 20 тысяч и для компаний — до 100 тысяч. За повторный случай взыщут до 12 тысяч с граждан, до 50 тысяч с должностных лиц и до 300 тысяч рублей с организации.

Парламентарии считают, что такие санкции несоразмерны с возможными последствиями от утечек. Злоумышленники используют рассекреченные сведения для спам-звонков и рассылок, мошенничества, шантажа и других преступлений.

«Тенденция роста числа утечек по-прежнему сохраняется, и это неудивительно, — сказала «Парламентской газете» соавтор законопроектов, первый зампред Комитета Госдумы по госстроительству и законодательству Ирина Панькина. — Несмотря на то что сумма всех штрафов, назначенных судами за утечки, выросла в 23 раза по сравнению с 2021 годом, ответственность за эти самые утечки и незаконный оборот персональных данных продолжает оставаться ничтожно малой по отношению к тяжести последствий таких нарушений».

Наказание будет зависеть от масштаба утечки

Чтобы защитить россиян, депутаты и сенаторы разработали пакет законопроектов об ужесточении наказаний за незаконную обработку, использование, сбор, хранение и передачу персональной информации. Среди авторов инициатив — первый вице-спикер Совета Федерации Андрей Турчак, глава Комитета Совфеда по конституционному законодательству и госстроительству Андрей Клишас, председатель Комитета Госдумы по информационной политике Александр Хинштейн.

Как ранее отметил в своих социальных сетях Андрей Турчак, многие компании воспринимают личную информацию людей как способ заработка и не охраняют ее должным образом. «На черном рынке круговорот баз с персданными оценивается в 20 тысяч. Они содержат информацию примерно о 80 процентах населения России», — отметил сенатор. Он подчеркнул, что изменения в Административный и Уголовный кодекс вносят по поручению президента, а ответственность будет расти вместе с объемом «слитой» информации.

Первый законопроект (№ 502104-8) устанавливает градацию штрафов в зависимости от количества утекших данных. Если попали в открытый доступ сведения об 1-10 тысячах человек, компаниям и индивидуальным предпринимателям назначат взыскание три-пять миллионов рублей, обычным сотрудникам — 100-200 тысяч, должностным лицам от 800 тысяч до миллиона рублей. В случае утечки данных 10-100 тысяч клиентов штраф для компании составит 5-10 миллионов, для сотрудников — 200-300 тысяч, для должностных лиц — 1-1,5 миллиона рублей.

Если рассекречена информация более чем 100 тысяч клиентов, нарушителю придется выложить 10-15 миллионов рублей, должностным лицам — 1,5-2 миллиона, работникам, допустившим утечку, — 300-400 тысяч. Таким же будет наказание за «слив» любого объема специальных персональных данных, например медицинских.

За повторное нарушение планируют ввести оборотные штрафы для компаний. После утечки сведений больше чем об одной тысяче человек компанию-виновника оштрафуют на 0,1-3 процента годовой выручки. При этом оговаривается, что взыскание не может быть меньше 15 миллионов и больше 500 миллионов рублей. Для людей повторное нарушение обернется взысканием в 500-800 тысяч, для должностных лиц — 3-5 миллионов.

«Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность», — сказано в пояснении к проектам.

Кого могут посадить за решетку

Второй законопроект дополняет Уголовный кодекс новой статьей 272.1 о незаконном использовании и передаче, сборе и хранении компьютерной информации, содержащей персональные данные, и создании ресурсов для нелегального хранения и распространения таких сведений. За это предложили ввести уголовный штраф до 300 тысяч рублей, четыре года тюрьмы или принудительных работ.

Когда речь идет о биометрических или медицинских данных, преступникам придется заплатить 700 тысяч или отправиться на принудительные работы и в тюрьму на пять лет. Таким же будет наказание для создателей нелегальных программ и баз для хранения и передачи указанной информации.

Если кто-то воровал персональные данные, организовал их утечку, создавал базы такой информации из корыстной заинтересованности, по предварительному сговору, с использованием служебного положения, максимальным штрафом станет миллион рублей или доход за два года, а за решетку посадят на шесть лет. Так же накажут в случае причинения преступником крупного ущерба. За трансграничную передачу сведений могут лишить свободы на восемь лет и оштрафовать на два миллиона.

За преступление, связанное с незаконным оборотом персональной компьютерной информации, с тяжкими последствиями или организованное группой преступников, тюремный срок увеличится до десяти лет, а штраф до трех миллионов рублей.

Уголовная ответственность предусмотрена как для киберпреступников, так и для рядовых сотрудников компаний, решивших заработать на «сливе» информации.

«Наши законопроекты о значительном усилении как административной, так и уголовной ответственности в данной сфере позволят ощутимо повлиять на текущую ситуацию с персональными данными наших граждан, — пояснила Ирина Панькина. — Киберпреступникам и людям, занимающимся незаконным оборотом персданных, будут грозить серьезные сроки лишения свободы, а представителям бизнес-сообщества будет проще обеспечить цифровую безопасность и сохранность сведений, нежели платить многомиллионные штрафы».

Парламентская газета