Law Messenger
Новая ответственность за нарушения, связанные с оборотом персональных данных
28.11.2024 г.
27 ноября 2024 года Совет Федерации РФ одобрил два законопроекта № 502104-8 и № 502113-8, которые существенным образом меняют ответственность за нарушения, связанные с оборотом персональных данных. Предполагается, что предложенные изменения подведут итог масштабной реформы ответственности за неправомерную обработку персональных данных, о которой Роскомнадзор сообщал еще в прошлом году.
В этой связи, вопросы соблюдения регуляторных требований к защите персональных данных и эффективная организация внутренних процессов в компаниях, по нашему мнению, приобретают большую значимость для операторов персональных данных и требуют повышенного внимания.
Административная ответственность
В соответствии с актуальной редакцией законопроекта № 502104-8, устанавливаются новые составы нарушений в рамках ст. 13.11 КоАП РФ, краткое описание которых вы можете найти ниже.
Нарушение | Максимальный размер штрафа для юридических лиц |
Невыполнение обязанности по подаче в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных или нарушение сроков такого уведомления
| 300 000 рублей |
Невыполнение обязанности по уведомлению Роскомнадзора об утечке персональных данных или нарушение сроков такого уведомления
| 3 000 000 рублей |
Утечка персональных данных от 1 000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов* *Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу
| 5 000 000 рублей |
Утечка персональных данных от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов
| 10 000 000 рублей |
Утечка персональных данных более 100 000 субъектов и (или) более 1 000 000 идентификаторов
| 15 000 000 рублей |
Утечка персональных данных, которые относятся к специальной категории
| 15 000 000 рублей |
Утечка биометрических персональных данных
| 20 000 000 рублей |
Повторная утечка персональных данных |
До 3% совокупного размера суммы выручки за предыдущий календарный год либо размера собственных средств кредитной организации, но не менее 20 000 000 рублей и не более 500 000 000 рублей
|
Повторная утечка биометрических персональных данных и (или) персональных данных, которые относятся к специальной категории |
До 3% совокупного размера суммы выручки за предыдущий календарный год либо размера собственных средств кредитной организации, но не менее 25 000 000 рублей и не более 500 000 000 рублей
|
Данный законопроект также предусматривает «смягчающие» обстоятельства, к которым отнесены:
- Ежегодные расходы оператора в течение 3 лет на мероприятия по обеспечению информационной безопасности, проводимые организацией с соответствующей лицензией, составляли не менее 0,1% годового размера выручки или размера собственных средств кредитной организации;
- Наличие документального подтверждения того, что оператор соблюдал требования к защите персональных данных в течение 12 месяцев;
- Отсутствие обстоятельств, отягчающих ответственность.
В свою очередь, к отягчающим ответственность обстоятельствам относятся продолжение противоправного поведения и имевшее место ранее привлечение к административной ответственности за нарушения, связанные с обработкой персональных данных и с информационной безопасностью.
В случае принятия законопроекта в текущей версии, он вступит в силу по истечении 180 дней после опубликования.
Уголовная ответственность
Законопроект № 502113-8 предлагает ввести в УК РФ статью 272.1, посвященную незаконной обработке персональных данных.
За незаконные использование и (или) передачу, сбор и (или) хранение информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, может повлечь ответственность вплоть до лишения свободы на срок до 4 лет.
В случае, если такие действия связаны с трансграничной передачей персональных данных, ответственность может выражаться в лишении свободы на срок до 8 лет со штрафом в размере до 2 000 000 рублей и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет.
В текущей версии законопроекта не установлен специальный срок вступления в силу, поэтому в случае принятия он начнет действовать спустя 10 дней с даты официального опубликования.
* * *
Предложенные изменения значительным образом повлияют на оценку рисков, связанных с процессами обработки персональных данных. Учитывая наличие времени до вступления в силу новых правил об административной и уголовной ответственности за нарушения, связанные с оборотом персональных данных, мы рекомендуем сконцентрироваться на аудите собственной деятельности и убедиться, что она соответствует законодательству и лучшим практикам.
Отдел по оказанию юридических услуг Б1
Команда Б1 имеет значительный опыт консультирования международных и российских клиентов по вопросам, связанным с обработкой персональных данных, и готова оказать вам поддержку в указанной области.
Подробнее
Авторы
Василий Маковкин
Партнер Б1
Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса
Связаться
Антон Сиднин
Менеджер Б1
Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса
Связаться
Полина Быченок
Юрист Б1
Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса
Связаться
АЛЕРТЫ ПО ТЕМЕ
Посмотреть всеСделки в условиях действия ограничительных мер экономического характера: обзор
Представленный Обзор основан на действующем законодательстве РФ, опубликованных разъяснениях и рекомендациях, а также нашем практическом опыте. Законодательство и / или официальные разъяснения могут быть изменены в любой момент времени. Мы не можем предвидеть ни время, ни суть таких изменений, хотя в настоящее время мы не располагаем информацией о подготовке таких изменений, которые могут существенно повлиять на наши комментарии.
10.12.2024
Новая ответственность за нарушения, связанные с оборотом персональных данных
27 ноября 2024 года Совет Федерации РФ одобрил два законопроекта № 502104-8 и № 502113-8, которые существенным образом меняют ответственность за нарушения, связанные с оборотом персональных данных. Предполагается, что предложенные изменения подведут итог масштабной реформы ответственности за неправомерную обработку персональных данных.
28.11.2024
Санкции США против российского финансового сектора
21 ноября 2024 г. Управление по контролю за финансовыми активами США (OFAC) объявило о новых санкциях против России. Новые ограничения, в частности, касаются АО «Газпромбанк», более 50 российских банков, 40 регистраторов, а также 11 должностных лиц ЦБ РФ.
26.11.2024
Обзор санкций США в отношении Беларуси
2024 год отметился расширением ограничений в отношении Беларуси и новыми включениями белорусских лиц в санкционные списки. Предлагаем разобраться в санкционном режиме в отношении Беларуси – начнем с санкционного режима США.
18.11.2024
Санкции США в сфере ИТ: новые исключения для компаний с иностранным владением
Осенью 2024 года было дополнено Положение об экспортном администрировании США («EAR») в отношении экспорта программного обеспечения («ПО») российским лицам. С 16 сентября 2024 года в EAR был закреплен запрет на экспорт, реэкспорт или передачу (внутри страны) в Россию и на ее территории ПО, которое относится к некоторым категориям.
29.10.2024
Новые законы и новые возможности в сфере регулирования криптовалюты (цифровая валюта и цифровые права)
Приняты новые законы в сфере регулирования цифровой валюты и цифровых прав, которые расширяют возможности их использования в трансграничных расчетах.
04.10.2024
Указ Президента РФ № 767: ключевые изменения
9 сентября 2024 был опубликован новый Указ Президента № 767 «О внесении изменений в некоторые указы Президента Российской Федерации». Основные изменения касаются порядка совершения сделок (операций), учета и исполнения обязательств по еврооблигациям и замещающим облигациям, в цепочке владения которыми присутствовали лица из недружественных иностранных государств, а также процедуры получения разрешения на выплату российскими компаниями прибыли лицам из недружественных государств.
16.09.2024