В Госдуму поступил пакет законопроектов (см. здесь и здесь), усиливающих ответственность за утечки персональных данных (ПД).
Проект внесения изменений в КоАП предлагает серьёзное увеличение штрафов для операторов ПД за инциденты.
В соответствии с законопроектом, если утечка коснётся:
- от 1 тысячи до 10 тысяч субъектов ПД, то штраф для юридических лиц составит от 3 миллионов до 5 миллионов рублей;
- от 10 тысяч до 100 тысяч субъектов ПД — от 5 миллионов до 10 миллионов рублей;
- более 100 тысяч субъектов ПД — от 10 миллионов до 15 миллионов рублей.
- За повторные утечки предлагается ввести оборотные штрафы от 0,1 до 3 % выручки за календарный год или за часть текущего года, но не менее 15 миллионов рублей и не более 500 миллионов рублей.
В пакете законопроектов предусмотрено также введение уголовной ответственности за использование, передачу, сбор и хранение ПД, полученных незаконным путём, а также за создание информационных ресурсов, распространяющих ПД.
Как поясняют авторы законопроекта, самые значительные меры уголовной ответственности будут применяться к организованным группам, которые совершали незаконные действия с базами данных, содержащими ПД, полученные незаконным путем, что повлекло тяжкие последствия.
Предусмотрены крупные штрафы (до 3 миллионов рублей в случае тяжких последствий либо действий организованной группы), запрет на занятие определённых должностей, принудительные работы и лишение свободы. Последняя санкция может достигать пяти лет – для создателей ресурсов, распространяющих краденые ПД.
Как сказано в пояснительной записке, в настоящее время компании, допустившие утечки ПД, привлекаются по части 1 статьи 13.11 КоАП, предусматривающей максимальный размер штрафа для юридических лиц до 100 тысяч рублей (при рецидиве – до 300 тысяч рублей). При этом указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, ПД могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений.
В январе президент поручил правительству до 1 июля рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку ПД, усилении ответственности за их незаконный оборот и иные нарушения законодательства в области персональных данных и представить предложения по внесению соответствующих изменений в законодательство РФ.
В апреле Минцифры предложило задействовать единый портал госуслуг в качестве третьей стороны при распределении компенсаций за утечки ПД.