На прошлой неделе в первом чтении приняты два законопроекта об усилении ответственности за нарушения в сфере защиты компьютерной информации и обработки персональных данных (ПД).
1.Законопроект № 502104-8 о внесении изменений в КоАП РФ, в частности, статья 13.11 КоАП дополнена новыми штрафами для бизнеса.
▪️К наиболее неожиданным изменениям можно отнести введение нового штрафа за не уведомление/несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку ПД – до 300 тыс. руб. для юрлиц.
Например, персональные данные, к которым относится любая информация о физлице (ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.), обрабатывает любая компания, у которой есть сотрудники, контрагенты, клиенты, HR, сайт и маркетинг.
При этом зарегистрированы в качестве оператора ПД оказываются далеко не все. Кроме того, локальные акты, регламентирующие обработку ПД часто фундаментально не соответствуют профильному ФЗ «О защите персональных данных», либо документация об обработке ПД ведется не в полном объеме и не надлежащим образом.
▪️Законопроект также предусматривает ряд значительных штрафов:
▪️за не уведомление РКН о факте утечки персональных данных – до 3 млн. руб.,
▪️за действия (бездействия) оператора повлекшие такую утечку в количестве более 1 тыс. субъектов/10 тыс. идентификаторов – до 5 млн. руб.; более 10 тыс. субъектов/100 тыс. идентификаторов – до 10 млн. руб.; более 100 тыс. субъектов/1 млн. идентификаторов – до 15 млн. руб.; данных специальной категории ПД – до 15 млн. руб., оборотные штрафы за повторные правонарушения – до 500 млн. руб.
Следует также упомянуть, что в настоящее время к обязанностям операторов ПД относится локализация ПД строго на российских серверах, а трансграничная передача ПД допускается только с разрешения РКН. В связи с чем использование иностранных CRM и иных сервисов, базы данных которых могут быть расположены на иностранных серверах, в случае передачи/размещения на них ПД, уже сейчас может привести бизнесы пережившие цифровую трансформацию с безбумажными офисами к соответствующему штрафу (ч.8 ст. 13.11 КоАП РФ) для юрлиц в размере до 6 млн. рублей за первое и до 18 млн. рублей за повторное правонарушение (ч.9 ст. 13.11 КоАП РФ).
Указанное правонарушение, в частности, устанавливается по результатам проверки прокуратурой или РКН соблюдения законодательства о персональных данных, путем осмотра интернет-страниц, содержания интернет-форм обратной связи (объема собираемых ПД и локализации баз данных), установления страны регистрации домена, IP- адреса ресурса, содержания политики обработки ПД. По одному из дел по результатам выездной прокурорской проверки были осмотрены автоматизированные рабочие места сотрудников организации, оборудование, журналы посещения браузера и пользования учетными записями, содержание электронной почты и иного ПО и установлена локализация ПД на базах данных за пределами РФ.
1.Законопроект № 502104-8 о внесении изменений в КоАП РФ, в частности, статья 13.11 КоАП дополнена новыми штрафами для бизнеса.
▪️К наиболее неожиданным изменениям можно отнести введение нового штрафа за не уведомление/несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку ПД – до 300 тыс. руб. для юрлиц.
Например, персональные данные, к которым относится любая информация о физлице (ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.), обрабатывает любая компания, у которой есть сотрудники, контрагенты, клиенты, HR, сайт и маркетинг.
При этом зарегистрированы в качестве оператора ПД оказываются далеко не все. Кроме того, локальные акты, регламентирующие обработку ПД часто фундаментально не соответствуют профильному ФЗ «О защите персональных данных», либо документация об обработке ПД ведется не в полном объеме и не надлежащим образом.
▪️Законопроект также предусматривает ряд значительных штрафов:
▪️за не уведомление РКН о факте утечки персональных данных – до 3 млн. руб.,
▪️за действия (бездействия) оператора повлекшие такую утечку в количестве более 1 тыс. субъектов/10 тыс. идентификаторов – до 5 млн. руб.; более 10 тыс. субъектов/100 тыс. идентификаторов – до 10 млн. руб.; более 100 тыс. субъектов/1 млн. идентификаторов – до 15 млн. руб.; данных специальной категории ПД – до 15 млн. руб., оборотные штрафы за повторные правонарушения – до 500 млн. руб.
Следует также упомянуть, что в настоящее время к обязанностям операторов ПД относится локализация ПД строго на российских серверах, а трансграничная передача ПД допускается только с разрешения РКН. В связи с чем использование иностранных CRM и иных сервисов, базы данных которых могут быть расположены на иностранных серверах, в случае передачи/размещения на них ПД, уже сейчас может привести бизнесы пережившие цифровую трансформацию с безбумажными офисами к соответствующему штрафу (ч.8 ст. 13.11 КоАП РФ) для юрлиц в размере до 6 млн. рублей за первое и до 18 млн. рублей за повторное правонарушение (ч.9 ст. 13.11 КоАП РФ).
Указанное правонарушение, в частности, устанавливается по результатам проверки прокуратурой или РКН соблюдения законодательства о персональных данных, путем осмотра интернет-страниц, содержания интернет-форм обратной связи (объема собираемых ПД и локализации баз данных), установления страны регистрации домена, IP- адреса ресурса, содержания политики обработки ПД. По одному из дел по результатам выездной прокурорской проверки были осмотрены автоматизированные рабочие места сотрудников организации, оборудование, журналы посещения браузера и пользования учетными записями, содержание электронной почты и иного ПО и установлена локализация ПД на базах данных за пределами РФ.
2.Законопроект № 502113-8 вводит новую статью 272.1 УК РФ об уголовной ответственности за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей ПД, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, а равно создание ресурсов/систем для ее незаконного хранения/передачи.
