Фото:
Сгенерировано нейросетью
Депутаты приняли поправки в Административный кодекс РФ, усиливающие ответственность за нарушения при обработке персональных данных. Начинают действовать оборотные штрафы, но не для всех и только при определенных условиях.
И вообще, их можно значительно уменьшить, если доказать, что компания усиленно занимается кибербезопасностью. Рассказываем подробности.
Штрафы будут достигать 3% от годового оборота фирмы. Точная сумма будет зависеть от количества утекшей информации, последствий утечки и расходов компании на информационную безопасность.
Также предусматриваются и уголовные наказания. Получить реальный срок можно будет, если "утекут" биометрические данные, персональные данные несовершеннолетних, а также если суд докажет, что раскрытие информации было совершено умышленно или по предварительному сговору.
Отметим, что ранее законопроект предусматривал компенсацию ущерба от утечек потерпевшим и запуск соответствующих страховых механизмов. Но этот вопрос пока сняли с повестки. Как отметили авторы проекта, над этой темой нужно еще серьезно работать.
Закон вступит в силу с 1 марта 2025 года, если законопроект подпишет президент (Совет Федерации закон уже одобрил).
Какими будут штрафы:
- Если разглашены данные от 1000 до 10000 пользователей, физлицо оштрафуют на сумму от 100 до 200 тысяч рублей, должностное лицо — от 200 до 400 тысяч рублей, юрлицо — от 3 до 5 миллионов рублей.
- Если утечка затронула до 100 тысяч граждан, штрафы для физлиц — от 200 до 300 тысяч рублей, для должностных лиц — от 300 до 500 тысяч рублей, для юрлиц — от 5 до 10 миллионов рублей.
- Если утекли данные более 100 тысяч человек, предусмотрены административные штрафы: для физлиц — 400 тысяч рублей, для должностных лиц — от 600 тысяч рублей, для юрлиц — 15 миллионов рублей.
- Если человек пострадал от случайной или неправомерной утечки персональных данных, физлицо оштрафуют на 50–100 тысяч рублей, должностное лицо — на 400–800 тысяч рублей, юрлицо — на 1–3 миллиона рублей.
За повторную утечку персональных данных предусмотрены более жесткие наказания, в том числе и те самые оборотные штрафы:
- За повторную утечку информации о более 1000 человек полагаются штрафы для физлиц — 600 тысяч рублей, для должностных лиц — 1,2 миллиона рублей, для юрлиц — 1–3% совокупной выручки от продажи всех товаров и услуг за календарный год, который предшествовал дате нарушения. Если выяснится, что компания временно ничего не продавала, штраф рассчитают от выручки за текущий год, но не менее 20 миллионов рублей и не более 500 миллионов рублей.
- За обработку персональных данных без согласия физлица получат штраф от 10 тысяч до 15 тысяч рублей, должностные лица — от 50 до 100 тысяч рублей, юрлица — от 150 до 300 тысяч рублей. За повторное нарушение штрафы будут больше: для физлиц — от 15 000 до 30 000 рублей, для должностных лиц — 100–200 тысяч рублей, для юрлиц — 300–500 тысяч рублей.
- Если скрыть утечку данных от регуляторов, то придется заплатить от 5 000 до 10 000 рублей физлицам, 30 000–50 000 рублей должностным лицам и 100–300 тысяч рублей юрлицам.
Если компания ежегодно выделяет не менее 1% годовой выручки на обеспечение информационной безопасности, максимальный штраф будет 50 миллионов рублей.
То есть законодатели посчитали, что на кибербезопасность нужно не менее 1% оборота. Такие показатели должны соблюдаться в течение трех календарных лет, предшествующих году, в который произошла утечка.
Эксперты ранее говорили, что крупным компаниям выгоднее "забить" на траты на кибербезопасность и выплачивать маленькие штрафы.
Напомним, Яндекс Еда получила за масштабную утечку данных клиентов, которым, к тому же, сразу начали названивать мошенники, все лишь 60 тысяч рублей штрафа. Но сейчас "Еде" волноваться за прошлый провал не придется: закон обратной силы не имеет.
Какими будут уголовные наказания:
- До 4 лет лишения свободы — за незаконные использование, передачу, сбор и хранение персональных данных, если доступ к средствам их обработки был получен незаконно.
- До 5 лет тюрьмы или принудительных работ либо штраф до 700 тысяч рублей или в размере дохода за два года — за раскрытие информации о несовершеннолетних или утечку их биометрических данных.
- До 5 лет лишения свободы — за создание сайта или страницы для незаконного хранения и передачи персональных данных.
- До 6 лет лишения свободы, либо до 5 лет принудительных работ, либо штраф до 1 миллиона или в размере дохода за 3 года — за утечку информации по предварительному сговору группой лиц, или с использованием служебного положения, или в корыстных целях, с причинением крупного ущерба.
- До 10 лет лишения свободы — за действия, которые повлекли тяжкие последствия либо совершённые организованной группой.
В примечании к новой статье 272 УК РФ уточняется, что она не будет распространяться на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.
Как сообщил журналистам "Базы", к примеру, один из авторов нового закона депутат Александр Хинштейн, по этой статье не будут наказывать людей, добывших какую-нибудь информацию через боты для "пробивов", которых множество в Телеграме. А вот владельцев этих ботов вполне могут наказать. Если найдут, конечно.
Да и самих журналистов за использование "пробивных" ботов наказывать тоже не будут, считает Хинштейн: "Журналист действует на основании закона о СМИ и может для получения информации и её проверки использовать самые разные приемы".
Ранее в Минэкономразвития отмечали, что потенциальные расходы повысят общую нагрузку на бизнес, ведь без штрафов не получится обойтись даже соблюдающим закон компаниям. Еще одну проблему подсветили специалисты по информационной безопасности: анализ утечек может частично выйти из правового поля. Ведь он напрямую связан с работой с данными, полученными незаконно.
Принятый закон, вероятно, сократит инструментарий ИБ-фирм. Никто не захочет получить срок в составе организованной группы за анализ утечек на форумах. Хакеры же продолжат обитать в даркнете, как и раньше.
Также читайте на нашем сайте:
- Администрация президента не готова снижать штрафы для компаний, допустивших утечки персональных данных
- Какого размера должна быть утечка персональных данных, чтобы компании грозил оборотный штраф?
- Хакеры выложили в Сеть данные пользователей СДЭК. Что в утечке и к чему следует подготовиться клиентам?
- Правительство готовит оборотные штрафы для компаний, допустивших утечку персональных данных
- Опять оборотные штрафы? АКИТ призывает чиновников и "общественников" остановиться
Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.
 |
Сергей Степанов
Руководитель интернет проектов, Легалайз минимаркет |
 |
Андрей Климов
автор, Oborot.ru |
