Услуги

Услуги

Программы

Офисы Пресс-служба Подписка Обратная связь

Выбор языка

Выбор локации

Мы используем файлы cookie, чтобы улучшить работу сайта. Оставаясь на сайте, вы соглашаетесь с нашей политикой по использованию файлов cookie.
Смотреть все выпуски

Law Messenger

Новая ответственность за нарушения, связанные с оборотом персональных данных

28.11.2024 г.

Поделиться

27 ноября 2024 года Совет Федерации РФ одобрил два законопроекта № 502104-8 и № 502113-8, которые существенным образом меняют ответственность за нарушения, связанные с оборотом персональных данных. Предполагается, что предложенные изменения подведут итог масштабной реформы ответственности за неправомерную обработку персональных данных, о которой Роскомнадзор сообщал еще в прошлом году. 

В этой связи, вопросы соблюдения регуляторных требований к защите персональных данных и эффективная организация внутренних процессов в компаниях, по нашему мнению, приобретают большую значимость для операторов персональных данных и требуют повышенного внимания.

Административная ответственность

В соответствии с актуальной редакцией законопроекта № 502104-8, устанавливаются новые составы нарушений в рамках ст. 13.11 КоАП РФ, краткое описание которых вы можете найти ниже.

НарушениеМаксимальный размер штрафа для юридических лиц

 

Невыполнение обязанности по подаче в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных или нарушение сроков такого уведомления

 

300 000 рублей

 

Невыполнение обязанности по уведомлению Роскомнадзора об утечке персональных данных или нарушение сроков такого уведомления

 

3 000 000 рублей

 

Утечка персональных данных от 1 000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов*

*Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу

 

5 000 000 рублей

 

Утечка персональных данных от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов

 

10 000 000 рублей

 

Утечка персональных данных более 100 000 субъектов и (или) более 1 000 000 идентификаторов

 

15 000 000 рублей

 

Утечка персональных данных, которые относятся к специальной категории

 

15 000 000 рублей

 

Утечка биометрических персональных данных

 

20 000 000 рублей
Повторная утечка персональных данных

 

До 3% совокупного размера суммы выручки за предыдущий календарный год либо размера собственных средств кредитной организации, но не менее 20 000 000 рублей и не более 500 000 000 рублей

 

Повторная утечка биометрических персональных данных и (или) персональных данных, которые относятся к специальной категории

 

До 3% совокупного размера суммы выручки за предыдущий календарный год либо размера собственных средств кредитной организации, но не менее 25 000 000 рублей и не более 500 000 000 рублей

 

Данный законопроект также предусматривает «смягчающие» обстоятельства, к которым отнесены:

  • Ежегодные расходы оператора в течение 3 лет на мероприятия по обеспечению информационной безопасности, проводимые организацией с соответствующей лицензией, составляли не менее 0,1% годового размера выручки или размера собственных средств кредитной организации;
  • Наличие документального подтверждения того, что оператор соблюдал требования к защите персональных данных в течение 12 месяцев;
  • Отсутствие обстоятельств, отягчающих ответственность.

В свою очередь, к отягчающим ответственность обстоятельствам относятся продолжение противоправного поведения и имевшее место ранее привлечение к административной ответственности за нарушения, связанные с обработкой персональных данных и с информационной безопасностью.

В случае принятия законопроекта в текущей версии, он вступит в силу по истечении 180 дней после опубликования.

Уголовная ответственность

Законопроект № 502113-8 предлагает ввести в УК РФ статью 272.1, посвященную незаконной обработке персональных данных.

За незаконные использование и (или) передачу, сбор и (или) хранение информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, может повлечь ответственность вплоть до лишения свободы на срок до 4 лет.

В случае, если такие действия связаны с трансграничной передачей персональных данных, ответственность может выражаться в лишении свободы на срок до 8 лет со штрафом в размере до 2 000 000 рублей и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет. 

В текущей версии законопроекта не установлен специальный срок вступления в силу, поэтому в случае принятия он начнет действовать спустя 10 дней с даты официального опубликования.

 *  *  *

Предложенные изменения значительным образом повлияют на оценку рисков, связанных с процессами обработки персональных данных. Учитывая наличие времени до вступления в силу новых правил об административной и уголовной ответственности за нарушения, связанные с оборотом персональных данных, мы рекомендуем сконцентрироваться на аудите собственной деятельности и убедиться, что она соответствует законодательству и лучшим практикам.

 

Отдел по оказанию юридических услуг Б1

Команда Б1 имеет значительный опыт консультирования международных и российских клиентов по вопросам, связанным с обработкой персональных данных, и готова оказать вам поддержку в указанной области.

Подробнее

Авторы

Василий Маковкин

Василий Маковкин

Партнер Б1

Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса

Связаться

Антон Сиднин

Антон Сиднин

Менеджер Б1

Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса

Связаться

Полина Быченок

Полина Быченок

Юрист Б1

Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса

Связаться

АЛЕРТЫ ПО ТЕМЕ

Посмотреть все